數發部應招募的資安即戰力

於今年8月27日掛牌上路的數位發展部，配置有「資通安全署」與行政法人「國家資通安全研究院」，這兩個單位的定位分別是強化政府與民間資安的建設及提升整體資安防護的研發能量，其成敗完全取決於進駐人員的專長與素質。首屆數發部部長唐鳳表示將打破現有公務員聘僱制度，運用彈性約聘的方式招募部內半數以上的人員，以大力引進數發部亟需的數位轉型與資安攻防的專才。

根據規畫，資安署將下設綜合規劃組、通報應變組、輔導培訓組、稽核檢查組、法規及國合組等單位，其中通報應變組與稽核檢查組將負起政府部門資安防護的重責大任。通報應變組平時規劃及推動資安威脅偵測與防禦的機制，遇事故時則負責資通安全事件的通報、應變及後續效應追蹤。稽核檢查組則掌管對政府資訊服務系統作資安攻防演練之規劃、協調及績效評估，以及協助軟件嵌入式產品(software-embedded product)資安品質檢測之規劃及推動。

過去幾年在政府大力扶持倡導下，台灣已培養出一批為數可觀的白帽駭客人才，他們在世界知名的搶旗(capture the flag) 駭客大賽經常表現優異名列前茅，其中有些駭客團隊甚至成立新創資安公司並有不錯的業績。在此同時，各式民間資安駭客社群組織也如雨後春筍般遍地開花，代表台灣未來白帽駭客的人才應可源源不絕。然而，這些白帽駭客是不是就是數發部資安署所要引進的人才?答案是不盡然。

白帽駭客的主要訓練在於運用現有資安攻擊工具，針對攻擊目標，先偵察其資訊網路系統的資安弱點，再利用這些弱點設計、製作攻擊網路封包以控制目標並植入、啟動惡意程式，從而造成諸如勒索病毒、殭屍網路、阻斷服務攻擊等傷害。所謂「能攻才能防」，這樣的人才能幫企業找出既有資訊系統的資安弱點，以提前採取必要的防護措施。近年來滲透測試型資安服務在國內逐漸風行，從業者大多具有白帽駭客的背景與訓練。有這樣訓練背景的人加入資安署，應可以更有效地協助政府機關與民間企業規劃、執行預防式資訊系統的資安測試，以及遇襲後如何迅速反應、處理與回復的演練。

一般而言，白帽駭客在整體資安產業人才族群中只占極少數的一環。筆者曾任世界第一大資安軟體公司的核心技術研發總監，在這公司近17000員工中，白帽駭客不超過50位，他們主要的職責是追蹤新近發現的軟體漏洞及最新發表的資安攻擊手法，以提供後續公司資安產品精進改良的參考和依據。除此之外，公司其他絕大多數的員工都是開發、整合、測試各式各樣資安產品的軟體工程師，其他世界知名資安軟體公司的人員配置大致也是如此。也就是說，主流資安公司人才的技能培養主要聚焦於資安產品的開發設計能力，如訂定創新的產品規格、設計精簡具延展性的軟體架構、運用先進軟體工程技術以產岀高效能可信賴的軟體產品。大部分的白帽駭客並不具備以上這些技能，但資安署可能需要招募一些這一類具資安產品公司歷練的人才，藉以製訂符合資安技術趨勢、具世界競爭力的資安產業發展政策，及規劃符合資安產業政策需求的長期人才培養計畫。

現今台灣各行各業包括政府機關最需要的資安人才其實是能針對特定資通訊系統，運用既有資安產品加上客製軟體，提供有效、易操作、具高性價比的整體資安防護方案。這樣的人才需具備以下的技能: (1) 對市場上現有資安產品的防護範圍與機制、優缺點、性價比瞭若指掌，(2) 對現代網路服務的軟體架構、通訊與網路協定、運算儲存設備和資安防護機制如何互動牽引有足夠深入的理解，(3) 能迅速掌握業主特定的資安需求，進而設計出在預算限制下最合適的資安防護架構及其實施方案，這樣的方案包括在發生資安事故後，能作最即時有效修復與補強的措施。

大型國際級企業的資訊長(CIO)或資安長 (CSO)大致具備類似上述的歷練，可是台灣大部分公司行號的資安領導人與以上的標準尚有一段距離，包括行政院的資訊長及資安處長也是如此! 絕大多數白帽駭客的技能培養更是與CIO與CSO的訓練大相逕庭。然而，數發部絕對應該大力招募這類具備CSO知識、學養、經驗、技能的人才，才能在規劃長期資安規範與政策、訂定公版資安防護實施架構及評判資安機制良窳時，能考量系統人力成本及技術可行性和操作性，進而作出最深入周延、切合實際的決策。