淡江大學國際事務與戰略研究所博士候選人-陳永全

 

2019年5月，全球32個國家齊聚捷克布拉格並公布「布拉格提案（ThePragueProposals）」，這是因應5G時代網路安全威脅的首次國際會議。

網路攻擊，已躍升為全球前十大風險
世界經濟論壇（WorldEconomicForum，下稱WEF）每年都會發表「全球風險報告」（TheGlobalRisksReport）。過去15年來的風險前5名都與環境有關。惟根據WEF2021年「全球風險報告」（16thEdition）顯示（如下圖），「資訊科技基礎設施故障」（ITinfrastructurebreakdown）已躍升為2021年全球風險具影響力的第10名；「數位權力集中」（Digitalpowerconcentration）、「數位不平等」（Digitalinequality）及「網路安全失效」（Cybersecurityfailure）則晉升為2020年風險加劇的第6、7及第9名。

「布拉格提案」
歐盟、北大西洋公約組織、美、德、日、韓、澳等代表，於2019年5月齊聚於捷克布拉格，為5G安全召開國際會議。會議中強調各國於發展5G時，應考慮國家安全、經濟、法治與設備商不法行為等因素，以及後續的管理問題。會議成果經主辦國捷克彙整，成為「布拉格提案」。
 
「布拉格提案」為首次探討5G議題之國際會議，其強調5G網路的開發、部署與商業化，必須建立在自由與公平競爭、透明以及法治基礎上，並提出5G安全及關鍵基礎設施防護等面向需進行國際交流與合作。參與國期望此提案內容能成為世界各國之資安防護共識。

「臺美5G共同宣言」延續「布拉格提案」精神
基於「布拉格提案」精神，我國與美國於2020年8月共同發表「臺美5G共同宣言」（JointDeclarationon5GSecurity），臺美雙方宣示承諾在自由、公平競爭、透明及法治的基礎上，對5G通訊安全重要性的認知，通過加強對5G供應鏈的把關，確保5G通訊網路的安全，同時深化臺灣與美國在5G資安上的合作關係。
 
此項臺美5G安全共同宣言，代表美國與我國政府均認同5G通訊服務安全的重要性，為確保5G軟硬體供應商與供應鏈安全，應評估供應商是否可信賴，具體做法包括評估5G供應商是否在沒有獨立司法審查下，受外國政府控制；資金來源是否公開；還有供應商的所有權、管理結構、採購、投資等資訊是否透明；是否尊重智慧財產權等。共同宣言中也倡議透過定期的更新與評鑑，將現有不受信任的軟硬體供應商，移轉為可信賴的供應商，提升雙方的資訊安全，善用5G通信網路提供的各項服務，同時確保提供一個更安全、具韌性與可信賴的5G行動通訊網路生態系統，並為民間提供創新的機會，在自由公平的環境中，促進數位經濟發展。

他山之石，可以攻錯
蔡總統在2020年就職演說中提出6大核心戰略產業，其中一項就是「發展結合5G時代、數位轉型及國家安全的資安產業」。在「資安即國安」的戰略指導前提下，保持高度的資訊安全意識。在5G布設建置過程中，臺灣應竭盡所能，想方設法，完全排除具有資訊安全疑慮的軟硬體設備及相關供應服務。
 
基此，我國可參考以下先進國家之資安戰略：
 
一、英國2016年11月「國家網路安全戰略」（NationalCyberSecurityStrategy2016to2021），內容聚焦網路資安防禦、嚇阻、發展，並期望達成：
1.政府網路及關鍵基礎設施防護
2.遏制網路犯罪
3.發展網路安全相關科學研究等目標
 
二、新加坡2018年3月「網路安全法」（CybersecurityACT2018(No.9of2018)），置重點於網路空間安全防護，包含關鍵基礎設施安全防護、網路攻擊反制與偵蒐、資訊、網路安全情資共享及建制資安服務供應商之管理機制。
 
三、日本2018年7月「網路安全戰略」（Japan’sCybersecurityStrategy），包含以下策略：
1.實現網路安全供應鏈及架構安全物聯網系統
2.建構大學院校之資訊與網路安全教學研究環境
3.制定網路犯罪之因應對策
4.強化政府網路防禦應變、反制網路攻擊與應變大規模網路破壞之能力
 
四、美國2018年9月「國家網路戰略」（NationalCyberStrategy），置重點於採取主動防禦作為，保護國家資產及民眾隱私安全，並提高惡意攻擊破壞者代價。
五、韓國2019年4月「國家網路安全戰略」（NationalCyberSecurityStrategy），內容重點包括：
1.加強國家關鍵基礎設施安全
2.提高網路攻擊應變與復原能力
3.建立具信任的網路治理能力
4.奠定網路安全環境、
5.培養網路安全文化
6.領導國際網路安全合作
 
六、加拿大2019年5月「國家網路安全行動計畫」（NationalCyberSecurityActionPlan2019-2024），內容有3大目標：
1.強化關鍵基礎設施防護並增強網路犯罪偵查能力
2.支持前瞻研究並協助創新企業發展
3.國內、地方與民間具體合作，結合國外盟友共同塑造網路防護環境
 
七、歐盟2019年6月「網路安全法」（TheEuropeanCybersecurityAct），重點為：
1.強化網路環境治理權限
2.挹注更多人力與財務資源
3.建立「歐盟網路安全驗證框架」驗證計畫
4.評估網路資通訊產品、供應商服務及製程是否符合國際安全規範
 
八、澳洲2020年8月「網路安全戰略」（Australia’sCyberSecurityStrategy2020），重點為澳洲政府預計將於10年內投資16.7億澳幣，投資要項：
1.強化對人民、企業及關鍵基礎設施的具體防護能力
2.保護企業產品和相關資通訊服務免受威脅或防護弱點的侵害
3.透過公、私部門通力合作，促進網路安全
 
綜合上述各國資安戰略，歸納重點：國家應於初始規劃階段，即建置安全的網路環境、建構國家網路資安聯防體系、培養大量優質的資安人才及尋求跨國合作之可信賴供應商等作為，方能超前部署，防範未然。

共同構建綿密的國家資安防護網
　我國於2019年1月正式施行《資通安全管理法》，成為我國首部「資安專法」；調查局旋即於2020年4月成立「資安工作站」，具體落實了我國資通安全戰略的重要關鍵作為，持續強化網路安全的具體防衛機制，構建綿密的國家資安防護網。
 
　　未來更應在戰略層級規劃：賡續推動政府網路資安集中共享，擴大國際參與及深化跨國情資分享，制敵機先阻絕境外攻擊，提升科技偵查能量，防制新型網路犯罪。在政策面向考量：輔導企業強化數位轉型之資安防護能量提升，強化供應鏈安全管理具體作為，建構智慧國家網路資訊安全環境。在教育面向推動：擴增高等教育網路資安師資員額與教學資源，挹注資源投入高等網路資安科研，培育頂尖網路資安實戰及跨域人才。在執行面向具體：建立各領域公、私部門協同治理運作機制，增強人員網路資安意識與安全防護能力建構，公、私部門合作深化平、變時情資交流與相關預防、應變、復原演習演練等；建立各層級持續營運能力，及強韌、相依、可靠的網路資通訊安全環境。

---本文轉自法務部調查局清流月刊---