近年來各種新興科技發展迅速,隨著全球人工智慧(artificial intelligence,AI)風潮興起,生成式AI廣泛應用,網路安全越趨複雜,潛藏之資安風險亦大幅提高,因資通安全日趨重要,相關部門更需審慎因應資安引發之威脅與挑戰。經查:
(一)中央政府資安預算配置情形
中央各部會就業務職掌及核心業務事項,規劃推動資通安全維護計畫,並分年按防護需求自行編列年度預算,近3年度(111至113年度)資安預算介於8.38至11.4億元間(詳表1),呈逐年增加趨勢;113年度資安經費預算逾1億元者計有外交部、數位發展部(以下簡稱數位部)及教育部,未達1千萬元者共有海洋委員會等10個機關(詳表2)。
表1 111至113年度各部會資安經費預算統計表 單位:新臺幣千元
項目
111年度
112年度
113年度
預算數
837,776
1,020,115
1,140,343
說 明:依資通安全署說明,政府各部門年度資安經費預算數於當年度第1季進行統計調查,故尚未能提供114年度預算案數,並表示因各部會所屬機關資訊資源向上集中情形不一,致配置各不相同,故本表不含各部會所屬機關之資安經費。
資料來源:整理資通安全署提供資料。
表2 中央政府各機關113年度資安經費預算數 單位:新臺幣千元
編號
機關名稱
113年度預算
編號
機關名稱
113年度預算
1
外交部
149,296
18
法務部
16,948
2
數位發展部
134,679
19
文化部
15,385
3
教育部
131,598
20
公平交易委員會
14,129
4
內政部
93,209
21
大陸委員會
13,621
5
國軍退除役官兵輔導委員會
67,587
22
行政院
12,625
6
經濟部
55,325
23
國立故宮博物院
11,290
7
勞動部
47,703
24
金融監督管理委員會
10,955
8
國家發展委員會
47,438
25
海洋委員會
9,516
9
行政院人事行政總處
41,749
26
中央選舉委員會
8,754
10
國家通訊傳播委員會
40,448
27
農業部
8,106
11
中央銀行
34,570
28
僑務委員會
7,320
12
衛生福利部
31,236
29
核能安全委員會
7,184
13
交通部
27,761
30
原住民族委員會
5,383
14
行政院公共工程委員會
24,680
31
客家委員會
4,786
15
行政院主計總處
22,150
32
環境部
4,500
16
國家科學及技術委員會
20,220
33
國家運輸安全調查委員會
1,850
17
財政部
17,474
34
不當黨產處理委員會
868
資料來源:整理自資通安全署提供資料。
另於前瞻基礎建設計畫第3至第4期特別預算(110至113年度)編列「強化公部門網路服務與運算雲端基礎設施」等6項資安計畫共計74.92億元,第5期特別預算案(114年度)賡續編列之資安計畫達12.63億元(以上係科技發展計畫,詳表3),另由數位部所屬資通安全署(以下簡稱資安署)新增「政府及基層數位韌性強化計畫-政府基層機關資安防護升級」5.54億元,共計18.17億元。
表3 前瞻基礎建設計畫特別預算相關資安計畫彙計表
單位:新臺幣千元
統籌主管部會
計畫名稱
期間
總經費
截至113年度累計預算數
114年度預算案數
合計
8,754,949
7,491,949
1,263,000
數位部
強化公部門網路服務與運算雲端基礎設施
110-114
5,073,649
4,043,649
1,030,000
臺灣資安卓越深耕-資安卓越中心計畫
110-114
1,617,000
1,459,000
158,000
國科會
臺灣資安卓越深耕-學術型資安研究
110-114
595,000
520,000
75,000
數位部
推動5G垂直應用場域實證、法規調適與網路資安之防護研析計畫
110-113
209,300
209,300
-
5G資安防護系統開發計畫
110-113
340,000
340,000
-
政府基層機關資安主動防禦計畫
112-113
920,000
920,000
-
資料來源:國家科學及技術委員會提供(本表所列屬科技發展計畫)。
(二)近年我國面臨資安全風險與公務機關112年資安稽核概況
趨勢科技公司2023年8月31日揭露駭客組織EarthEstries自年初開始針對臺灣、美國、德國、南非、馬來西亞等政府機關與科技業者下手,運用多種後門及降級攻擊,藉此閃避偵測系統;迄2024上半年,據情資專家分析,亞太資安態勢持續動盪,網攻機率攀高,而臺灣、南韓及日本名列前三大受害國家,飽受進階持續性攻擊(advancedpersistentthreat,APT)之危害。另國內業者iThome公布「2024企業最需警戒的資安風險」之調查,彙整我國企業未來1年5大資安風險,按風險高低順序分別為社交工程手段、勒索軟體資安事件、釣魚網站、駭客及資安漏洞(零時差漏洞攻擊)事件;政府學校除遭受上述風險外,更面臨國家級攻擊組織、駭客與網路犯罪者之攻擊。
有關政府部府依資通安全管理法(以下簡稱資安法)及相關法令應遵事項之落實情形,經數位部於112年度辦理稽核,發現主要缺失如下:
1.技術檢測:共計15個公務機關受測,其中13個機關核有相關缺失,包括使用者電腦未落實執行安全性更新、物聯網設備未落實執行重大CVE漏洞軟/韌體更新修補、資料保護機制不完備以及未使用加密方式儲存與傳輸機敏資料等。
2.實地稽核:共計24個公務機關接受稽核,其中17個機關核有相關缺失,包括資通系統及資訊盤點完整性不足、第三方驗證範圍未適時調整或有部分核心系統未納入驗證範圍、委外管理仍待加強致供應商配合度不足、內部稽核機制待改善,及未落實執行資安事件通報及應變程序等。
主管機關應視追蹤受稽核機關後續改善情形,適時給予輔導,並促請該等機關落實強化資安防護工作,以精進資安防護水準。
(三)人工智慧廣泛運用於各類產業領域,惟生成式人工智慧助長電信與網路詐騙犯罪,導致資安風險持續攀升,相關主管機關允宜積極完備AI應用規劃及所需規範與控管措施
世界經濟論壇發布「2023年十大新興科技報告」,評選出10項對世界產生積極影響之突破性技術,其中人工智慧生成內容(AIGC)亦入選,然如何解決新興技術於實際應用與監管間存在之鴻溝仍是最大問題;各國政府雖強調AI運用好處,仍存有AI取代工人、傳播選舉錯誤訊息或演算法偏見遭成傷害等隱憂,同時亦為國家安全帶來全新威脅。
復參閱KPMG會計師事務所於2023年6月28日發布「生成式AI模型—商業風險與潛在回報」報告,歸納出生成式AI運用領域,以及業界應思考因應之內、外部資安風險與挑戰,諸如內部保密義務、防止智慧財產權洩露、資料遭盜用、員工誤用之責任問題、錯誤訊息、偏見和歧視、版權爭議、數位網路安全隱患等風險(詳表4)。
表4 AI應用面臨相關風險摘要表
項目
相關風險
內部
1.許多生成式人工智慧模型構建係為吸收使用者輸入數據,隨著時間推移改進底層模型,有助於使用者學習與積累知識。然這些數據可以用來回答其他人提示,從而可能向公眾暴露私人或專有資訊,故需確保內部保密義務,及防止智慧財產權洩露。
2.員工誤用或不準確運用,即使合法使用生成式人工智慧也會帶來風險。
3.生成式AI持續演變,需持續研擬監管法令規定,以降低用戶資料遭刻意盜用風險。
外部
1.錯誤資訊、偏見和歧視(如生成式人工智慧被用於創建深度偽造之圖像和視頻,致使用者難以辨識真偽)。
2.相關版權風險(生成式人工智慧工具獲得知資訊需要改變程度如何界定,使能合法成為個人資訊)。
3.財務、商標與版權(如AI生成之資訊或代碼複製於任何成果或產品中,可能構成版權或其他知識產權之侵權問題)。
4.電腦網路安全(如網路犯罪分子可使用生成式AI製作更真實、更複雜之網路釣魚詐騙或憑據入侵系統、數據中毒及數據雖已匿名化與清除,演算法仍可區分個人身份。
資料來源:整理自KPMG發布之「生成式AI模型—商業風險與潛在回報」。
我國為因應人工智慧發展之國際趨勢,自107年推動「臺灣AI行動計畫」,接續於112年執行「臺灣AI行動方案2.0」,期能結合科技發展計畫、前瞻基礎建設及部會推動之相關計畫,加速實現臺灣成為全球AI新銳之願景。鑒於運用生成式AI協助執行業務或提供服務,有助於行政效率提升,行政院爰參考各國政府因應作法,於112年10月3日發布「行政院及所屬機關(構)使用生成式AI參考指引」,以促使各機關使用生成式AI有所依循,並請各部會視業務需要,參酌上開參考指引另訂使用規範或內控管理措施。
惟經審計部查核指出,截至113年4月底止,除金融監督管理委員會及衛生福利部就所轄金融與醫療,陸續研訂相關人工智慧之核心原則或技術指引等規範外,其餘目的事業主管機關,尚無研訂相關法制配套措施,故函請行政院督促有關機關儘速研議AI應用之領域及完備所需之法規調適與配套措施等,以健全其發展環境。
此外,全球防詐聯盟GASA於112年11月20日舉辦首屆亞洲防詐高峰會,公布首部「亞洲詐騙調查報告」,探討亞洲最新詐騙趨勢與因應策略,據《亞洲詐騙調查報告》報告顯示,亞洲地區超過60%的民眾每周至少會接觸到一次詐騙事件,各類及時通訊軟體與社群媒體,皆淪為詐騙溫床,可見民眾經常暴露在詐騙之風險中,而臺灣民眾在社群媒體上遇到詐騙經驗更高達近35%,顯見提升詐騙防範意識之迫切性。鑒於新興科技發展日新月異,相關主管機關仍應持續觀察全球AI發展趨勢與應變策略,及時研提滾動調整防範與因應措施,並完備使用規範或內部控制等管理措施,俾提升數位環境資訊安全之韌性。
(四)據公私部門調查資料顯示,資安人力呈現供不應求情形,且資安人力培育之技能與實際需求存有落差
資安人才之培育與扎根,乃資安發展關鍵因素之一,隨著網路攻擊增加,公私部門對資安專業人才需求持續增長。參閱iThome113年6月13日公布「2024資安大調查系列2-資安人才篇」調查結果顯示,各產業之資安人力多未達期望人數,又以醫療業和政府學校落差最大。按資安署統計顯示,112年中央及地方政府資安專職人員依法應配置人數1,533人(詳表5),正式人員939人,占依法應配置人數之61.25%,非正式人員(約聘、約僱、約用及委外人員)355人,占比23.16%,尚有缺額239人,占比15.59%,顯見政府機關資安專業人力之配置有所不足。
表5 112年中央及地方政府資安專職人員配置情形表 單位:人數;%
項目
依法應配置人數A+B+C
正式人員A
非正式人員B
缺額C
人數
%
人數
%
人數
%
中央政府
783
468
59.77
249
31.80
66
8.43
地方政府
750
471
62.80
106
14.13
173
23.07
合計
1,533
939
61.25
355
23.16
239
15.59
說 明:資安署依各機關填報112年資通安全維護計畫實施情形(統計截至113年7月30日)彙整(配置情形可能隨時變動)。
資料來源:資通安全署提供。
另由國家資通安全研究院112年8月提出之「2023年臺灣資安人才培力研究報告」指出,由我國資安人才供需調查觀察,109學年度與資安相關科系之大專校院畢業生約有1萬8千元,惟實際投入資安從業領域之相關科系畢業生應不及2,000人,復從產業需求與人才流動趨勢分析,我國資安人才培育面臨之挑戰除人才短缺外,尚存有人才種類、職能與需求之落差,且該等落差可能是由於高等教育體系偏重於學術研究與研發,與市場專精、專才職業需求有所不同,從而影響產業界資安人才供需情況。據此,鑒於現行資安人力供需失衡,對於資安人才培養,政府相關部門與民間訓練機構允宜檢視就業市場人力需求,妥予規劃資安培育課程外,尚需要加強資安教育職業訓練,並建置更具吸引力之職場環境,以留住吸引資安人才投入相關領域。
(五)主管機關允宜積極進行資安法修法之溝通協調,並啟動相關子法研修作業,以及早完備法令規範,俾建構完善之國家資通安全環境
資安法自107制定公布,自108年1月1日施行迄今尚未修正,鑒於數位部於111年8月成立,由該部掌理國家資通安全業務,所轄資安署辦理國家資通安全之規劃、推動與執行等工作,因應管轄機關變更,以及資安風險現況與資安議題,由資安署提出資安法修正草案,已於113年7月4日經行政院會通過,修正重點包括明確機關權責,強化合作協力、強化納管機關資安管理及資安人員管理(支援、配置及獎懲)等項(詳表6),該署並表示刻正啟動後續相關子法修法先期作業。
資安政策制定與推動,係資安環境發展重要關鍵因素,為因應變化莫測資安威脅,政府需制定相對應法規規範,以保障公私部門資訊安全。是以,行政院允宜督促主管機關積極進行修法事宜之協調溝通,並掌握修法進度,以利及早完法制化作業程序。
表6 資安法修正案重點摘要表
項目
主要修正重點
明確機關權責
1.行政院決定國家整體資安策略。
2.資安法主管機關為數位部,並定明國家資通安全業務由資安署辦理。
強化納管機關資安管理
1.危害國家資通安全產品相關規範。
2.資安署得稽核所有納管機關。
3.直轄市山地原住民區公所、直轄市山地原住民區民代表會,鄉(鎮、市)公所、鄉(鎮、市)民代表會之資安管理,由直轄市、縣政府分層監管。
精進資安人力策略
1.調度支援:遇有重大資通安全事件,得調度各級機關資通安全人員支援,並視為在職訓練。
2.適任性查核:涉及國家機密、軍事機密及國防秘密之資通安全業務人員進行相關查核。
3.特定非公務機關:應設置專職人員及資安長,增訂特定非公務機關對所屬人員辦理資通安全業務之獎勵及懲處。
說 明:依資通安全管理法第3條第1項第6款規定,特定非公務機關係指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
資料來源:整理自數位部資安署「資通安全管理法修正草案」說明簡報。
綜上,近年資通訊科技快速發展,以及人工智慧崛起,公私部門面臨之資安威脅更為險峻,主管機關除賡續掌握資安情勢發展變化,及時妥為研謀對策外,並應確實督促各部門提升資安防護能量,且強化全民資安意識,以及落實安全管理措施,俾有效控制資安風險,降低資安事件之發生。
(分機:1930芮家楨)