資安國力所需的人才

自二○一六年上任以來，蔡總統在各種場合都極力倡導「資安即國安」的政策。因為世界列強都已將網絡攻擊（cyber attack）正式編入他們軍事打擊能力的一環，資安與國防安全緊密相依毋庸置疑。過去一年來，幾個國營事業與多個國內中大型製造業業者頻頻遭受不同程度的勒索病毒攻擊，甚而短暫停產或付出大額贖金，因此資安與經濟安全環環相扣理所當然。一個國家資安攻擊防禦的綜合能力是謂其資安國力，「資安即國安」的政策落實應首重資安國力的提升。

一國的資安國力幾乎完全取決於其資安人才的整體質量，而後者則與該國資安產業發展的蓬勃程度息息相關。因此，若欲提升資安國力，必以培養能開展資安產業的人才為先。過去幾年在政府大力扶持倡導下，台灣已培養出一批為數可觀的白帽駭客人才，他們在世界知名的搶旗（capture the flag）駭客大賽經常表現優異、名列前茅，其中有些駭客團隊甚至成立新創資安公司並已有不錯的業績；在此同時，各式民間資安駭客社群組織也如雨後春筍般遍地開花，代表台灣未來白帽駭客的人才應可源源不絕。

這些成果是不是表示台灣已經成功培養出能提升其資安國力所需的資安產業人才？其實答案是否定的。

白帽駭客的主要訓練在於運用現有軟體工具，針對目標單位偵察其資訊網路系統的資安弱點、產製攻擊網路封包以利用這些弱點植入惡意程式、啟動已植入的惡意程式進而造成如勒索病毒、殭屍網路、阻斷服務攻擊等傷害。所謂「能攻才能防」，這樣的人才能幫企業找出既有系統的資安弱點，以提前採取必要的防護措施；近年來滲透測試型資安服務在國內逐漸風行，從業者大多具有白帽駭客的背景與訓練。

然而，白帽駭客在整體資安產業人才庫中只占極少數的一環。筆者曾任世界第一大資安軟體公司的核心技術研發總監，在這公司近一萬七千名員工中，白帽駭客不超過五十位，其他絕大多數的員工都是開發整合測試各式各樣資安防護產品的軟體工程師；其他世界知名資安軟體公司的人員配置也是類似。所以，資安產業人才的培養應聚焦於具以下資安產品開發能力的人才：訂定創新資安產品的規格、設計精簡具延展性的軟體架構、運用先進軟體工程技術以產出高效能可信賴的大型軟體產品。

另一類需求孔亟的資安產業人才要能對商用資安產品的優缺點與性價比瞭若指掌，然後就業主特殊資安需求設計出在預算限制下的最適資安防護架構及實施方案，進而在發生資安事故時做最即時有效的修復補強，台灣各行各業資安防護的加強端賴此類人才的培養。

和其他產業一樣，資安產業也逐漸走向自動化。從密碼強度的檢查、釣魚電郵社交攻擊的偵測、軟體漏洞的挖掘與補正，到系統防護規則的訂立、滲透測試腳本的製作、甚至入侵系統弱點的網絡攻擊的產生，都開始有各種自動化工具簡化其流程甚且大幅提升其輸出品質。

此類能開發資安工具自動化的人才對系統軟體（如作業系統、編譯器、虛擬機監視器）、資安攻防手法、人工智慧技術通常有多年浸淫的實戰經驗，也將是台灣資安產業能否破繭而出的關鍵研發力量。