| 00:00:00,330 |
00:00:01,012 |
謝謝主席 邀請局長 |
| 00:00:09,669 |
00:00:38,030 |
謝謝主席 沈委員早這個我就直接從預算開始因為今天最主要是預算的詢答時間應該沒那麼多啦那這個剛好是前幾天的這個新聞所以把它放在這一邊是這個第三季的數據它包含這些資安供給是全球的這個平均招供給的次數那裡面包含包含台灣那剛剛羅委員其實也有提到相關的這個預算所以這個部分我就不多說但目前的政府與軍事機構以台灣來講的話平均每週是五千多次 |
| 00:00:39,011 |
00:00:41,813 |
﹚立法院第11屆第12會期外交及國防委員會第13次全體委員會第13次全體委員會 |
| 00:00:56,703 |
00:01:18,853 |
事實上對於治安的委管是本局長期以來非常重視的一項工作的業務也感謝大院的支持我們大概在過去這幾年在治安投注上的經費是有逐漸的在增加主要的目的就是在提升我們治安防護的能力剛剛羅委員也注意到了本局在這方面的防護能力讓駭客的攻擊所達到的紀錄是零 |
| 00:01:20,093 |
00:01:42,406 |
主要原因是我們所架設的一個網路環境就駭客比較有專業背景的經驗來看的話他們會知道要攻擊本局的一個相關的網站網頁難度會比較高那就剛剛委員所呈現的數據來講大概在過去這陣子的過程當中很多駭客侵害的對象已經慢慢地從政府機關轉移到民間或研究機構 |
| 00:01:43,166 |
00:01:58,857 |
而且過程當中除了我們高度關注的apt的高階駭客攻擊以外的攻擊似乎變成是這一陣子主要的一個趨勢那也才會委員在數字呈現上發現那個次數似乎有不斷增加的趨勢大概背景是這樣子 |
| 00:01:59,537 |
00:02:21,207 |
對,然後因為我發現在預算書這一面,就是除了這一頁以外,就是這上面,就是維持資安人員專業的這個證照比率,那當然它是有這個有某種程度的達成,我覺得這沒有問題。但是我這邊要提醒一下就是說,我們傳統的資安在講這些紅隊的演練啊什麼等等之類的,它確實我覺得目前不管是國安局還是國防部在這一方面加強是很多。 |
| 00:02:21,807 |
00:02:43,704 |
但是從去年開始有一個數據我覺得是令人比較擔心這是全世界的數據就是目前來講在公司內部直接的竊取機密或者在公司內部他可能插一個USB然後直接讓他中毒或者他做了某些事情配合外部的攻擊他們說現在已經快超過50%了也就是說現在我們在做紅隊演練的時候必須要把這個加進去 |
| 00:02:48,347 |
00:03:03,701 |
在這一個相關的這個數據裡面就有看到目前以歐盟跟美國來講他們的平均值大概一年一家公司是花4000萬到5000萬只做內部就是只管內部控管這件事情就是內部的人譬如說他的背景的調查 |
| 00:03:04,421 |
00:03:32,579 |
還有現在很多根本就禁止你使用USB就是NIST就是之前在做那一個AI評比的那一個他們在去年的時候有公布了一個標準應該是2022就有了啦那去年有在把它最佳化它有一個標準就是說我們對內人員的一個管控那當然我覺得以國安局來講對內人員的管控本來就有在做但是它配合資安的對內人員的一個管控這是一個新東西所以呢我就想說這邊有講說資安人員的專業證照啦 |
| 00:03:33,920 |
00:03:51,819 |
因為這個專業證照還沒有包含到內部威脅那我在想說國安局搞不好可以先做做給其他部會看就是把這個東西也把它納入這部分有跟委員報告一下資安的部分一來是資安本身硬體的部分再來就是涉及到資安的人安的部分 |
| 00:03:52,519 |
00:04:10,752 |
在經費的投注上我們當然花很多的經費來強化我們在硬體部分的一個建置那在人安的部分我們除了硬體上的實體隔離以外也都嚴格的禁絕我們的同仁攜帶個人的USB或相關連接電腦的設備進入營區所以我們在營區的門口是有相關的管制作為這大概是第一部分 |
| 00:04:11,192 |
00:04:12,313 |
尤其這種行為模式的分析現在反而變得很紅 |
| 00:04:29,944 |
00:04:44,255 |
所以就是說這幾年如果國安局在行為模式的分析有什麼經驗的話應該能夠給其他的國安的尤其因為現在情報部門多嘛對不對就是把這樣的機制給他們然後讓他們在編列預算的時候能夠把這一個相關的教育訓練也拿進去 |
| 00:04:45,095 |
00:05:00,489 |
這部分也跟委員說明報告一下因為就國安局來講我剛才跟羅美玲委員在做說明的是那我們除了去注意我們自己本身局內的治安以外我們對於除了國安局以外還有11個情報機關對於他們的資訊安全我們也非常重視 |
| 00:05:01,069 |
00:05:28,919 |
那這部分我們一方面是透過教育訓練或聯合工坊演練的方式來提升他們的能量我沒有記錯的話在未來這兩年三年應該培訓我們國安團隊的資安人員可以達到3000人次以上那另外一部分是在經費的補助我們也會去了解一下我們相關國安團隊的資安環境到底有沒有需要再測進的地方那有必要的話在硬體設備還有在相關的技術經驗的分享上經費的 |
| 00:05:30,219 |
00:05:35,543 |
國安局在這方面的預算有可能不一定夠,所以這個就是等到我們在講細部預算的時候,我們比如說先把這個專業證照這個部分先把新標準放進去,這是一定本來就要做,而且這跟本來局內在做的事情是一致的。 |
| 00:05:55,840 |
00:06:10,942 |
接下來就是我們可能可以去看一下國外花這個四五千萬到底他們是花在哪一些部分哪一些是局裡面還缺的我覺得可以在細項的時候我們來討論這件事情這個我就先要跳過這個就是我剛剛講的NIST的一些新標準這個我都先跳過一下 |
| 00:06:11,863 |
00:06:40,723 |
現在目前來說除了我剛剛講的就是不管是教育的訓練、內容等等之類現在目前美國是有這個NITTF英國是CPNI那歐盟是透過這個NIS2的這個指令所以他們都有一些特殊的一些資安治理架構那這個東西呢的確稍微還是比較新一點我在跟各個這個大公司尤其是美國的大公司的資安長在討論的時候他們說這不是只有在國安單位缺樓現在連有些企業做得到還不夠 |
| 00:06:41,503 |
00:07:09,669 |
所以這個是未來的大方向所以這一個部分我想會在下一個年度的時候我們可能會對不管是國安局國防部要求就它可能甚至需要有一些應變小組啊什麼等等之類的在內部做創設那接下來我還有另外一件事情我剛剛突然想到就是因為雖然今天我們沒有國土辦就是關鍵基礎設施但因為關鍵基礎設施跟國安局還是有非常強的關係但因為關鍵基礎設施我們現在人力是有不足的 |
| 00:07:09,969 |
00:07:33,362 |
他面臨的狀況跟國防部有點類似人力不足我覺得國安局還好但是那個關聯基礎設施會那他們人力不足的時候呢他們會更多時候去找廠商那他一旦找廠商之後呢廠商有沒有符合我們剛剛那些規範那完全是另外一件事了就像我們剛剛講我們教育訓練什麼對其他的情報機關會去協助這個都有但廠商未必有這個能力有些廠商他也不夠大他甚至有些他只是比如說保全公司 |
| 00:07:33,902 |
00:07:58,875 |
那他如果對因為他們畢竟譬如說他在巡邏關鍵基礎設施啊他一定會有一些機密啊他的那個他每天的班表啊什麼等等之類的這個有時候呢從與其從外部駭客攻擊我看直接找這個保全公司大概機密就可以洩露了所以這個有可能必須也要國安局要嘗試去協助就是說我們在契約訂定上面我們可能沒辦法直接做這個公司但是假設我們的關鍵基礎設施有外包的 |
| 00:07:59,375 |
00:08:24,233 |
他外包的那一個契約上面有一些標準的要求是不是可以一致的就是我們局裡面做到的要求我們在契約上要求其他廠商也做到這樣這部分我們可以來提供給其他部會來參考那我想委員很正確的提出來了就關鍵基礎設施的維護現在可能有很多單位都非常重視偽商那這偽商的部分假如說在資安管理的授權權限過高的話他很有可能會造成一些資安疑慮的問題 |
| 00:08:25,714 |
00:08:52,257 |
那另外怎麼樣透過契約的方式來讓廠商這個部分有更大的一個權責必須要負起相關治安外卸的責任這部分可能契約要來加強那再來就是相關的委外的廠商他有沒有涉入背景的查查那這在我們國安單位我們向來是列為最優先的工作但這部分在政府其他單位感覺上這方面的知覺還不太夠那這部分我們在提醒各單位應該要來注意這部分的重要性 |
| 00:08:52,577 |
00:08:55,906 |
好沒問題我們就希望不要再有案例的發生這個我們之後再來多討論因為時間關係 |