這一陣台灣喊的「#資安即國安」的宣告,簡單看來比較像是…
1. 極少談到「國際安全」
當威脅或機會來自國外時,國際安全就成了確保國家安全和個人安全的最重要環節。所謂的威脅大家聽過很多了,但技術的進步導致威脅和機會取得的成本降低,也屬於國際安全的一環。台灣在這方面的實質參與,目前看起來絕大多數僅限於軟體技術開發的交流,但在國際公法、海事、軍事、外交、網路關鍵資源、區域聯防等領域,關注力還不到足以支撐和建構完善國際安全網的水平。「資安即國安」的很多公開說法都忽略了最弱的國際安全層面,不知道是否因為是幾個單位之間權責壁壘,或是多數管理階層缺乏傳統國際安全領域的合作經驗所導致。
2. 極少談到「個人安全」
個人安全 (在網路安全 cybersecurity 的範圍內)是非常重要的一環。不過台灣在這方面的著墨也非常不足,例如 OECD 談這方面,消費者的保護是一個龐大的體系,但在台灣僅僅是政策資源的闌尾末流。
3. 誤將「國家安全」擴大解釋
機關、學校和企業的資訊安全 (information security) 通常不屬於國家安全,最好也不要放到國家安全討論。引用 WEF 世界經濟論壇談的報告談國家安全可能是最差的選擇之一。那份報告主要談的是全球新興風險,如果真的關心網路安全,把風險更細膩的放在 “cyber” 的架構下去斟酌衡量會是準確的選擇。
資訊安全不是國家安全,資訊安全也通常不是網路安全,這幾個面向所呈現的新興挑戰是很不一樣的。我懷疑創造出這個「資安即國安」名詞的幕僚,是不是完全不懂這幾個層次之間的複雜關係。
我認為蔡政府的談法相當不好,這是過去一年多來蔡政府談「網路」時都一直撞牆碰到的問題。更好的談法可能是:
A) 國家安全的網路安全 (cybersecurity) 論述和技術能量部分,需要加強建構。組織管理和人因的防衛意識,要從對網路空間更為陌生的高階主管下手。
B) 由於網路特有的全球性和巴爾幹化,我們在國際網路安全聯防運作,要特別專注投資。
C) 網路安全在 UN, ICANN 和 Munich Security Conference 有三個大規模生態的安全圈子,這三個生態系政府是可以有很多角色的,有些角色是非政府或是 non-state actors 所無法扮演的。應該強化常態性在政策與技術方面的實質貢獻。
至於什麼「數位國家」,可能少提為妙,經不起考驗的。
T.H. Schee 