個資外泄事件頻傳 資安院3招因應
何全德今天接受自由時報「官我什麼事」節目專訪時表示,因應個資外泄事件上,可以分成事前、事中、事後3大階段的防護機制。
事前部分,何全德表示,資安院有資安服務團,每年選定數個保有大量個資的政府單位,每次花費前後共3個多月幫單位從頭到尾做檢查,「就像人體健康檢查一樣」,從軟體、硬體方面協助政府單位的資安,並給予改善建議。
企業若發生個資外泄事件,則屬於事中階段,何全德表示,資安院有一組專家,會隨同各目的事業主管機關(例如:和泰車旗下共享汽機車服務iRent屬於交通部,綜合性電商蝦皮、誠品生活屬於數位部產業署),前往企業做行政調查,瞭解事件爲何發生、如何改進等。
事後檢討部分,資安院除了當下提供建議、協助企業因應之外,也從國際引入許多資安的標準跟規範,讓企業可以依循,藉此打造更安全的環境。
何全德表示,提升全民資安意識非常重要,資通安全就像交通安全,廠商有責任制造安全的車輛與軟體服務,但開車的還是人。同樣地,在資安領域,民衆上網時要能判斷哪些是釣魚網站、哪些軟體不能下載,密碼也要做更好管理才行。
資安院未來的3任務,何全德表示,第一,培養各式各樣的資安人才,資安院成立後,已經把歐美的12項資安人才職能基準引進,後續會訂出課綱,進行人才培訓,資安院設計一套完整的能力驗測方式,通過後資安院將核發職能證書。
他進一步說明,資安院今年優先培養2類人才,包括資安長跟資安事件工程師。現在金管會要求符合條件的上市櫃公司設資安長,這1000多位資安長應該具備哪些知識、職能、如何跟董事會與業務單位溝通等。資安院優先培養資安長,預計設置兩班,分別爲「資安長班」與「資安長養成班」。
何全德觀察,發生資安事件後如何處理,是目前最重要的工作,因此規劃透過爲期半年培訓,培育資安事件工程師。
第二,資安院會投入個資保護技術的研究;第三,資安情資蒐集。何全德解釋,資安就像打仗,必須先蒐集好情報,資訊完備後,纔可以做更好的主動防禦,未來還有人工智慧的新技術,可以讓相關資訊更即時,也能提供民衆更好的資安防護。