【專題探索】網路治理趨勢下之資通安全法令:談台灣「資通安全管理法(草案)」
陳映竹 (2017/10/20) 《台經月刊第40卷第10期》
國際間以發展智慧城市、物聯網、人工智慧等新興科技為趨勢,如載貨用之無人機具、自動駕駛車輛、智慧門鎖或可遠端控制的家電用品等,都需建構在安全的網路環境之上,在資料傳輸時都需要經過加密或是安全的網路環境與通訊協定,以保障資料不會被惡意的第三方使用,甚至竊取個人身分等資訊,造成侵害使用者的隱私,也影響企業聲譽,減少消費者對企業及品牌的信任。
網路內容服務供應商Akamai於2017年8月底所發布的第二季網路安全報告中,分散式阻斷服務攻擊(Distributed Denial of Service, DDoS)與網路應用程式攻擊頻率升高,全球各地企業遭受WannaCry與Petya惡意軟體攻擊,估計經濟損失可能超過40億美元。同年於美國舉辦的黑帽大會中也提到在未來的新攻擊趨勢,涵蓋物聯網安全、零時差漏洞、網路釣魚、網頁快取詐欺與勒索軟體,皆為2018年的資安防禦焦點。
在國際間也認知網路安全之重要性,故透過各種法令、政策,鼓勵服務供應商提供資安訊息與政府分享,或藉由法令控管跨境網路服務供應商。然而這些法令若不當設計將會涉及國家監控與侵犯個人隱私,故國際間在談論網路治理中資安政策與法令議題時,會建議政府需要注意人權與隱私保護,勿使開放自由的網路環境因政府變相監控而扼殺了創新經濟與社會的發展。
我國也以發展新興科技作為提升經濟與產業轉型方向,都需要建構在安全的資通環境上。近年來層出不窮的資安事件,如2017年年初台灣券商的網路下單平台,集體遭到分散式阻斷服務攻擊無法正常運作,2016年第一銀行ATM遭駭事件,電子商務網站因受到網路攻擊導致個資外洩而衍生的詐騙事件層出不窮,影響相關產業發展與信心,資安的維運也提高廠商營運成本。
我國政府積極規劃資通安全法規並預計同步公布最新國家資通安全政策,向各界專家學者與不同領域代表收集意見,擬定「資通安全管理法(草案)」,目前已通過一讀程序。
藉由多方利害關係人機制協助建立資通安全政策與法令
「多方利害關係人」討論機制在「網際網路名稱與數字位址分配機構」(ICANN)已行之有年,即以直接與間接利益相關的個人、團體之共同利益為目標,藉由正式公開之管道於同一平台上溝通,提出需求並定義問題、權責機關、找出解決方案,共同進行決策的討論機制。因其公開、透明、當責的特性,故適用於協助制訂人權相關的法規與政策,如隱私權、資訊安全政策等。政府部門先定義政策目的、提供政策草案給利害關係人與團體,依時程收集或共同舉派出代表傳遞與彙集意見,作為決策基礎,形成共識,所有的過程都保留紀錄以公開查詢。
全球數位合作組織(Global Partner Digital, GPD)為了制定網路安全政策的流程上分為:程序規劃階段、政策草案階段及決策階段。程序規劃階段是最重要的階段,在此階段則決定:問題陳述的方式與共同追求的目標、時程、里程碑(或預期達成的目標)、可交付的成果、領導風格、機制或決策方式的形成。在政策草案階段,會視討論的框架來決定其內容,包含了:研究與對應的情境、向大眾與專家諮詢、政策草擬、檢視,通常會在政策草案階段與決策階段期間不斷的討論。決策的階段已是可以進入立法決策的程序,在每個階段中依循決策過程之特點,即為多方利害關係人機制(附圖、表1)。
附圖 GPD所建議的政策制定階段
表1 使決策過程具包容性的特點
資安政策與法令的規劃都應以「尊重人權」為基礎,避免侵犯人權的監控、不當的資料使用與不明確的授權機制的法令,相關的人才訓練政策都是培訓具有「尊重人權」、「數位素養」認知為優先。
GPD亦建議政府或企業在建立資通安全政策或資通安全維護計畫時,可參考其以人權為基礎的網路安全政策建議(表2)。
資通安全、網路治理、資安政策、數位法規、資訊保護、關鍵基礎設施、企業資安、風險管理、人才培育、網路攻擊
分享:
