本周二,美国前国土安全部部长珍妮特·纳波利塔诺 (Janet Napolitano)出席台湾资安大会时表示,资安热点转向亚洲,国际伙伴应相互合作。台湾的总统蔡英文则强调,资安即国安,将打造国家级资安团队因应威胁。
美、英、荷等十余国逾200名资安专家、超过300个资安参展品牌的“CYBERSEC 2023台湾资安大会”9日在台北登场。蔡英文总统出席开幕典礼时指出,“台湾资安大会”设立9年,已成为亚太地区最具指标的资安盛事。她承诺与民间合作,以“国家级”的资安团队,确保数位国土的安全,深化国际合作,建构国内外资安联防体系,打造让国际信赖的资安系统及产业链。
蔡英文说:“过去几年积极推动‘资安即国安’战略,并且进阶到2.0,完成《资通安全管理法》立法工作,成立‘资通安全署’;今年2月,‘国家资通安全研究院’也已经成立;数位发展部也邀集台湾自主技术的资安业者,从中可见台湾产业对新兴技术和国际趋势的关注,以及对于防范威胁和攻击的因应措施。”
蔡英文强调,“资安好,台湾产业才会更好”,面对无所不在的资安挑战,需要不断强化应变能力和管理机制,政府会持续推动国产自主研发资安产品和服务,鼓励投资资安新创,协助各行各业提升资安防护韧性,台湾的产业才能更蓬勃发展。
与会的美国前国土安全部部长暨美国加州大学柏克莱分校政治安全中心创办人纳波利塔诺致词时说:“世界正在转向亚洲,从网络安全的角度来看,也是如此。网络入侵似乎是不可避免的,在当今环境中反复地出现,并且成了日常生活的一部分。”
纳波利塔诺:推进缓冲机制、尽早减少攻击媒介
纳波利塔诺接着说:“我们无法压制所有威胁,因此我们需要推进适当的缓冲机制,我们需要尽早减少攻击媒介。我们需要对公众、私营部门和任何有风险的个体进行准备和应变能力的教育,我们需要能从被攻击中有效恢复的能力。”
纳波利塔诺强调,各方都有责任共同确保社区和网络安全,如果不进行国际化调整并与国际伙伴密切合作,任何国家的政府都无法实施国内安全行动的最佳实践。
纳波利塔诺提及,奥巴马总统时代,她在国土安全部任职,国会在该部门内创建了一个全新的机构,称为 CISA,专注于美国民用网络中的网络和关键基础设施弹性,而网络弹性就是减少已知和未知漏洞的测试、探测、演练,一次又一次地做这一切。
纳波利塔诺表示,资源永远不够:“我们通过在全国招募美国人民来降低威胁资安风险的准备工作。我们发起一项活动,该活动现在已广为人知,称为“看某事,说某事”。
美国在台协会:美台共同因应网路安全挑战
美国在台协会(AIT)台北办事处代理处长柯杰民(Jeremy Cornforth)致词指出:“美国和台湾的公司一直是网络黑客攻击、数据泄露和勒索软件攻击的受害者。与此同时,这些罪犯和非国家行为者的策略也在不断演变。这就是为什么我们作为合作伙伴共同努力,相互学习并提高我们关键的网络安全性。美国将继续与台湾等志同道合的伙伴合作应对威胁,并确保可靠的全球供应链。”
此次与会者包括英国、荷兰、卢森堡、波兰等十多国资安专家。
台湾数位发展部和iThome共同成立的“台湾资安馆”联合48家国产资安厂商。蔡英文参访数个台湾自主研发的资安商品。其中,资讯工业策进会主任魏得恩介绍已被用于部分公共部门、大学院校的“信任推断战情室”。
魏得恩:“这是信任推断战情室,情资资料搜集、后续分析、判断,透过华电联网流量监控设备,一旦发现流量不正常,警示灯会亮红灯,显示高度异常;再循线追查,有哪些档案可疑,资策会资安署研发的勒索软体检测,确定相关异常档案,是否遭勒索攻击。该软件以AI核心检测技术侦测,同时可作连网监测 ,侦测骇客有无攻击到其他主机,以防止扩散;去年获美国RD百大科技研发奖。”
汇智安全科技公司营销人员林蓉萱则为蔡英文介绍了“无密码”加密软件。她告诉自由亚洲电台,传统档案管理授权帐号、密码登入,一旦密码外泄,任何人可进入改权限,等于没有加密。有调查指出,87%档案外泄事件都因密码外泄所致。
林蓉萱提到,该公司推出“零信任档案”安全管理,舍弃授权设定密码,采用最新无密码技术,使用手机、安全金钥验证身份,解决密码泄露问题;另以单一档案加密及金钥交换设计加强稽核,档案上传、分享、下载一律自动纪录,并以数位签章确保不可否认性。若资料遭外泄,只要分析稽核纪录就可追查档案何时被谁下载和被分享出去。
林蓉萱透露,已有半导体供应链企业导入此“零信任档案”管理技术,并整合既有系统,以保护研发资料、客户机敏资讯。