1.媒體來源:
iThome
2.完整新聞標題:
澳洲智庫公布亞太地區網路安全成熟度報告,臺灣首度入榜排名第九
3.完整新聞內文:
澳洲智庫針對亞太地區25國進行「網路安全成熟度」排名,臺灣在政府成立資安專責組織
以及資安立法上的努力獲得肯定,而個人連網率僅次於日韓、優於美國
文/黃彥棻 | 2018-03-09發表
亞太地區包含臺灣在內的網路成熟度究竟如何呢?澳洲智庫澳洲戰略政策研究中心(The
Australian Strategic Policy Institute,ASPI)的國際網路政策中心(
International Cyber Policy Centre,ICPC),先前公布一份針對南亞、北亞和東南亞
、南太平洋和北美的25個國家所做的「2017年亞太地區網路安全成熟度(Cyber
Maturity Metric)分析報告」。
這是澳洲智庫從2014年開始,連續第四年所做的報告,而臺灣以及太平洋島國萬那杜(
Vanuatu)首度在2017年納入被評選的對象,臺灣並獲得整體網路安全成熟度第九名的成
績,在評選的五個指標中,包括:治理面向、網路犯罪面向、軍事應用面向、商業面向以
及社交活動上等五個指標、十個問卷題目。
在治理面向的政府組織部分得分最高,加權之後拿到6.4分(原始得分8分),其次為社交
網路面向中的個人連網率,加權之後得分6.3分(原始分數9分),表現最差的是國際網路
參不力,加權得分為2.1分(原始得分3分),次差為對外提供網路安全服務的CERT(電腦
危機處理小組)功能不彰,加權得分為2.4分(原始得分3分)。
國家安全會議諮詢委員李德財表示,在評比的過程中,政府組織和政策得分較高,跟總統
蔡英文「資安等於國安」的政見逐步落實,並且積極打造網路第四軍種以捍衛網路空間的
安全性,積極推動資通安全管理法等資安專法有正面相關。他認為,在得分較差的部份,
也是接下來臺灣可以努力的參考方向。
亞太各國積極成立資安專責機構和推動資安立法
雖然澳洲戰略政策研究中心的國際網路政策中心透過制度「網路安全成熟度指標」,來評
估亞太各國的網路安全成熟度,但除了連網比例之外,其他更多還包含網路安全的組織、
政策等面向在內。
這份報告也進一步分析亞太地區各國的網路安全成熟度發展趨勢,該份報告從各國政府角
度出發,觀察治理是否成長、軍方在網路空間的投入是否增加、國際參與是否積極、商業
經濟是否提升,以及是否有能力因應網路犯罪等面向,作為評估各國的網路安全成熟度指
標。
就政府治理的部份,可以看到各國政府陸續推出各種新的網路或資安專法,也有許多政府
組織的配合調整。李德財表示,積極成立政府資安專責組織和資安立法的的推動和制定,
是臺灣近年來在推廣資安的努力成果之一。
舉例而言,臺灣積極推動的資安立法「資通安全管理法」目前已經出委員會等候排入朝野
協商中,但其他亞太國家在資安專法的制定上,有些國家頗有進展,像是越南準備進行「
網路安全法(Law on Cybersecurity)」草案的立法;日本也已經進行個人資料保護法的
修法;中國的「網路安全法」則於2017年6月1日正式實施;澳洲也在今年正式實施「資料
外洩強制通報法」((Australia’s mandatory data breach notification law)。
在網路與安全的組織架構上,臺灣在2016年8月1日於行政院成立資通安全處的資安專責單
位,泰國則想成立國家網路安全委員會(National Cybersecurity Committee);印尼也
成立一個新的網路機構Badan Siber dan Sandi Negara;澳洲在網路安全戰略方面,除了
任命第一位網路大使(Cyber Ambassador)外,更強化澳洲網路安全中心(Australian
Cyber Security Centre)的功能。
亞太各國積極打造網軍,並強化國際參與深度
根據報告分析,美國在2016年的選舉受到俄羅斯有心人士的干涉,加上2017年造成全球影
響性的WannaCry以及NotPetya勒索蠕蟲的攻擊,雖然有許多指控都認為,這類攻擊是來自
國家級的網路攻擊,但因為無法有證據證明,都只能存疑。
但存疑的同時,卻不妨礙亞太各國積極建立網軍,李德財表示,臺灣就在去年六月底成立
網軍第四軍種資通電軍指揮部,希望積極招募優秀網路人才從軍。除了臺灣之外,澳洲也
積極成立資訊作戰部門(Information Warfare Division),就是澳洲國防部的網軍,負
責相關的網路攻防戰,人數招募預計達到900人;美國則是將網路司令部(Cyber Comman
)作為統一的網路作戰部隊;另外,為了確保日本在2020年舉辦東京奧運的安全性,日本
也預計將網路部隊從原本的90人,增加到1千人,成長一百倍以上。
國際參與一直是網路世界很重要的環節,包括美、日、澳等國都相當看重網路安全戰略,
為了避免網路戰爭一觸即發,都積極在進行多邊或雙邊的網路合作或是網路互不侵犯的條
約簽訂等作為;而打造CERT(電腦危機處理小組)也有助於各國的國際參與。
最具體的例子就是,中國和美國與英國於2015年分別簽訂保護智慧財產權的雙邊協議;中
國也於2017年和加拿大及澳洲簽訂雙邊協議等等。另外,太平洋島國像是東加王國,則加
入「布達佩斯網路犯罪公約」(Budapest Convention on Cybercrime)強化對抗網路犯
罪的能力;而有線電視網路也可以加強太平洋島國對外的網路聯繫;但相關國家組成的
PacCERT因為缺乏資金處於停擺狀況,無法有效運作,也削減太平洋島國對抗網路威脅的
能力。
網路發展也帶動經濟成長,網路犯罪成隱憂
報告中指出,亞太地區2017年經濟成長率高達5.5%,而網路發展就是帶動高經濟成長率
的動力之一,但也同時面臨確保安全可靠網路環境的同時,如何在醫療、教育和網路等基
礎設施之間獲得平衡,是必須要克服的挑戰。
不過,採用新興的網路技術也有助於創造新的經濟模式,也有助於提升經濟發展。舉例而
言,非洲巴布亞紐幾內亞有85%的民眾沒有銀行存款,但隨著行動網路3G的普及,該國可
以採用類似肯亞在手機上使用的M-Pesa行動金融系統,也可以考慮使用App進行行動支付
,像是中國微信的作法,都是藉由新興網路科技帶動國家經濟發展的實例。
其他像是美、日、澳等已開發國家已經有發達的網路環境,但對於相關網路安全人才卻仍
是很大的缺口,遲遲不能獲得滿足,資安人才的培育一直是網路發達國家面臨的缺口,像
是日本面對2020年的東京奧運會和殘障奧運會可能帶來的潛在網路威脅一直很謹慎,也積
極培養相關的網路資安人才,但其他國家即便有相關資安人才缺口,如何補齊仍是極大挑
戰。
網路犯罪已經是各國難以忽視的犯罪型態,網路安全成熟度高的國家,透過該國警方跨國
以及跨境的合作,打擊金融網路犯罪以及身分竊盜等網路犯罪議題;但網路安全成熟度較
低的國家,則會藉由打擊網路犯罪的理由,作為審查網路言論的藉口,但其實更應該關注
的應該是線上賭博或是線上色情、網路霸凌等議題,對各國網路安全發展帶來的後遺症。
報告中也提到,很多網路犯罪的駭客集團也都會以一些對於網路犯罪罪刑較輕、或是執法
能力較弱的國家作為犯罪據點,所以在2017年,美國FBI(聯邦調查局)就和中國聯手,
就以柬埔寨和斐濟為據點的中國網路罪犯遣返中國接受審判,澳洲也同時與中國分享相關
的網路犯罪後設資料(Metadata),協助打擊網路犯罪。
美國成熟度排名第一,臺灣第九名在政府組織和連網率有優勢
這份報告從治理面向、網路犯罪面向、軍事應用面向、商業面向以及社交活動上等五個指
標,設計出十個問卷題目,並以1分到10分表示重要性,1分表示「一點也不重要(Not
Important At All)」,10分表示「非常重要(Extremely Important)」,並以不同的
權重得出25個亞太地區國家的網路安全成熟度的評分,
在總共25個國家中,排名前一名國家是美國,澳洲與日本並列第二名,新加坡排名第四名
,南韓名列第五名,其餘第六名到第十名國家排名分別是:紐西蘭、馬來西亞、中國、臺
灣以及印度,臺灣首度納入排名就名列第九名。
美國雖然在2016年的總統大選遭到網路假新聞的干擾,在2017年仍是亞太地區國家網路安
全成熟度排名第一名,尤其是政府治理的組織面向上,加權得分高達8.0分(原始得分10
分),是所有國家中得分最高的對象;美國在對抗網路犯罪的手法上,獲得加權分數7.8
分(原始得分10分),也是所有國家中得分最高;另外得分最高的項目則是軍事應用面向
,加權得分6.8分(原始得分10分)。
美國政府在總統川普上臺後,也同樣頒佈一道加強網路安全防禦的行政命令:「加強美國
網路安全與能力(Strengthening US Cyber Security and Capabilities)」,並要求對
美國針對網路安全進行60天或100天的安全評估;至於美國聯邦預算網路安全支出與2016
年預算相去不遠,大約190億美元上下。
美國相對得分較低的項目就是在「資安立法」的項目上,美國在該選項的排名,僅次於有
積極進行網路安全戰略的澳洲與修訂個人資料保護法的日本;網路國際參與的部份則次於
日本;類似CERT組織的功能發揮,美國則次於日本和澳洲;數位經濟活動對於經濟發展的
助益上,美國次於新加坡和紐西蘭;個人網路連網率的部份,美國次於第一名的南韓和日
本,第二名的澳洲、紐西蘭、新加坡和臺灣。
臺灣第一次被納入這份亞太地區網路安全成熟度的調查,其中,在政府治理面向中,臺灣
有專責的資安組織有很大的加分,例如,在2001年就成立跨部會的資安會報,2016年總統
蔡英文上任後,對於網路安全更為重視,直接喊出「資安等於國安」的政策方針,並於
2016年8月打造專責的政府組織行政院資安處;2017年6月底成立第四軍種資通電軍指揮部
;並積極推動資安立法「資通安全管理法草案」,目前已經通過立法院委員會的討論,等
候排入院會朝野協商的議程。這些政府資安組織的成立與運作,是臺灣在網路成熟度評比
的優勢。另外,臺灣在網路連網率也獲得極高的得分,僅次於連網率最高的南韓和日本,
與澳洲、紐西蘭與新加坡並列第二名,甚至優於網路安全成熟度整體排名第一名的美國。
網路安全已經不是單一國家的事情,已經衍生成區域性甚至是全球性的資安事件,因此,
要解決網路安全帶來的各種威脅,往往需要更深度的跨國與跨境合作,前提就必須承諾有
更深度的國際參與。從該份網路安全成熟度的調查排名中發現,因為中國的政治干預,臺
灣很難獲得各種國際CERT組織的會員資格,也有害臺灣的網路國際參與。所幸,臺美在
2016年5月簽署強化兩國網路安全合作的意向書,並於同年舉辦第七屆亞太地區網際網路
治理論壇(7th Asia–Pacific Regional Internet Governance Forum in 2016)。但整
體而言,臺灣在網路國際參與的深度和頻率都嫌不足,這也是整體得分最低的項目。
得分次低的項目則是:網路安全服務的CERT(電腦危機處理小組)功能不彰,臺灣有技服
中心成立的TWNCERT,主要協助政府部門資安事件的緊急應變通報能力,但評分中,看不
到代表臺灣的TWCERT/CC的表現,相較於韓國的KrCERT/CC,對於韓國民間提供許多網路服
務,臺灣雖然有成立高達8個不同型態的CERT,卻沒有真正發揮應有的成效,成為網路安
全成熟度調查中,排名第二差的評分項目。
李德財認為,臺灣逐步落實「資安等於國安」的政策目標,從政府組織與資安立法層面的
努力獲得肯定,接下來,對於不足之處,包括打擊網路犯罪、深化軍事與商業應用,以及
活絡社交媒體活動等等,都是臺灣政府應該積極努力自我提升的項目。文⊙黃彥棻
4.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/121698
5.備註:
重點懶人包:台灣網路安全第九名總分56.9分不及格,落後第八名的中國13分
落後第八名的中國13分
落後第八名的中國13分