交大人共享知識與情感交流的平台

林宏文專欄
面對資安威脅 政府和企業該如何?─安碁總經理吳乙南學長專訪

2019年十月底正式掛牌的安碁資訊,是國內專注發展資訊安全服務的企業,是由宏碁集團旗下培育的小金雞。安碁資訊著重在資安監控防護中心(SOC)建置後的營運和維護,營收有75%來自每月向客戶收取的SOC 維運收入。目前在政府相關的業務占七成,其次則為金融業的15~20%、一般製造業約為10~15%,是國內最領先的資安服務企業。

安碁資訊於2019年11月底前往泰國,與合作夥伴DCS公司舉辦海外建置的第一個資安監控防護中心(SOC)啟用典禮,正式跨足泰國的資訊服務市場。DCS同時邀請近30位主要大型客戶出席服務說明會,在活動現場連線DCS的SOC資訊監控中心,實際展示SOC事前預防、事中監看與事後處理的過程。未來安碁也將積極發展海外布局,擴大國際業務。

挑戰下台灣資安的應變

主持人:從您2002年加入宏碁到現在快20年,這段時間其實全球資安的議題一直都有,請跟我們分享一下我們經歷過的這些重大資安事件。

吳乙南: 談資安大概都會把防毒聯想在一起。其實台灣最早的資訊安全,我們談的比較不是防毒那一塊,我們做的是資訊服務,要有跟客戶的現場處理,從事前到事中現場的監控,到最終的處置。

2003年的時候還沒有那麼完整的架構。台灣是因為政府單位,而台灣的電子化其實走的滿早,跟外界的連結會擔心資料外洩,還有政府的情勢必須對付到包括全球網軍的對待。當初訂委外策略是行政院底下一個資訊安全會報這個單位,他定義了A、B、C級單位,這是在2003年的一個分類。但整個時代的演變,其實資安已經不是一個單純一個政府單位或企業團體,而是「資安等同國安」的架構。

2012年之後有個資法,還有資通安全法,整個資訊安全的法規完整性跟分類越來越大。安碁在這樣的一個情況下,整個實力的培養跟人員技術就會越來越廣,一開始我們可能做的就只是監控,到後面連周邊健康的檢查,合規的檢視以及一些鑑識我們都陸續拿到。

主持人:剛提到個資法一般人應該比較清楚,另外講到資通法,這個是2019年重要的法令,可是具體談的東西是什麼?

吳乙南: 目前資訊安全法在2019年1月1日實施,是針對政府機關,以及政府持股比較多的像是一些法人像是國營單位,這是為第一波。如果有資安的事件而不通報,將有30萬到500萬的罰則,可以累計計罰,主要是鼓勵政府單位盡到通報的責任。

資安處特別列舉了國家八大關鍵基礎,八大關鍵基礎裡面,安碁拿到了包含向水利、能源、交通跟經管。我們有四個單位,其實就是一個產業鏈,甚至是資訊分享平台,資訊分享是很重要的,如果你提早知道就提早提防。

安碁目前在台灣客戶數是最高的,大概超過50%的市場佔有率,那為什麼會這樣?當你大者恆大的情況下,只要資訊彙報的情況下,只要有一個客戶發生問題,其他99%的客戶完全可以免疫,就如同疫苗的防疫一樣。經濟規模對安碁來講越來越累積成一個優勢,對我們服務單位或客戶來說都是保障。

主持人:剛講安碁的市佔率在50%以上,其實我們在政府部門,佔有率是更高的?

吳乙南: 政府部門因為起步得早,所以佔有率應該超過60%,因為他的經濟規模跟通報基準,讓整個服務的水平提高,尤其碰到問題的鑑識能力,目前來講我們是非常大。再來我們有四百億筆的每個月累積的資料量去做資安的分析,對於後面防患的精準度跟即時性。我覺得我們慢慢的從被動化為主動,到現在已經發展出預測行為,這是我們目前要去累積跟持續進步的能量。

主持人:請吳總跟我們分享一下,安碁在成長的過程裡面,面對什麼樣的挑戰,還有你有什麼樣的體會?

吳乙南:剛提到02年整個已經泡沫了,所以我們從機房的租賃,轉型到一些備援的啟用。那時候為了災難備援的技術,我們還特別到美國花了將近七十萬美金,把整個備援技術落地移轉到台灣。現在機房很多是以金融的為主,因為金融談到客戶要的是即時性的、不能中斷的,所以以災備來講投資是很大的,所以這是為什麼要走到資安。

而這中間過程其實「獲利」是個考驗,因為龍潭那邊一開始機房的投資很大,大概有三十多億,短期要獲利很難,加上網路的串聯是落在電信商手上。技術養成是需要長時間的,整個SOC是一個團隊,在這麼大的團隊裡面,你要培養真的是需要人才跟錢財才做得到,這過程中宏碁的資源是非常重要的!

現況而言我們同仁的流動率不高,當然外面的挖角的情況是有,但我們的環境對他來說是從無到有,而且對年輕人來說是很好的環境,不管是到鑑識,甚至滲透測試弱點掃描,甚至我們有顧問服務,對剛畢業的新鮮人進來學習是有很大的誘因的。

主持人:薪水當然很重要,但舞台也是很大的誘因,剛講我們有五成六成的客戶在手上,這都是可以歷練的機會。

吳乙南:很多客戶都是長期跟我們合作,我們在看營收的狀況,客戶的續約率超過六成、七成以上,因為我們已經熟悉他的環境,所以在做事件通報的準確度等等,我們會提升,而且對於你的線上環境我們會更清楚,所以在做後面SOC裡面有一個叫設備的關聯規則,我們在關聯規則上可以掌握,如果一旦有事件發生,可以即時告訴客戶我們怎麼去做。

資安領域的魅力與人才培育

主持人:剛提到國內面對資安其實非常多年,企業應該也已經身經百戰,是不是跟我們分享一下,在資安事件應該永遠都不會停止,面對這麼多事情,你覺得政府企業要有什麼樣的實質準備?

吳乙南:剛講很多東西是有工具的,所以可以是跳躍式的。也能讓人擁有成就感,所以很多駭客無論他找到一個新的惡意程式也好,或是新的中繼站,對他來說都是種成就感,才會一直累積成就感去做。 剛講資安等同國安,政府一直有在做,政府有法規,我記得2019年初還在跟國家的資安長陳其邁資安長有提到,資安應該是鼓勵企業單位,把遇到的資安事件能夠通報,而不是隱藏,因為隱藏的結果可能會讓問題更嚴重。 目前去看報告,尤其是亞洲地區,很多資安事件被發現已經是四百多天後的事情。一年多不知道這個狀況,尤其現在很多雲端的使用,雲端交到業者手上有沒有資安也不知道,所以這個企業資安是很重要的! 目前政府對金融等企業資安是比較重要的,但對於像電商之類的就比較沒有落實去執行,法規是有,但就是要不要落實執行的問題,常常都是碰到問題才會說資安很重要。如果資安法規不落實下去,加上不是用鼓勵的方式,而是用處罰的方式就會有單位不舉報,企業不做資安,那損失的是一般的民眾跟消費者。 對一般企業希望可以把資安的意識去提升,最簡單的就是不去亂點選郵件,現在最簡單最廉價的就是釣魚郵件就中了。安碁做服務是跟客戶去做直接的接觸,客戶有什麼問題就是直接來找我們。再來就是費用部分了,大家都覺得不用錢的最好,這也是一個困擾,同樣的合約可能在隔年議價的時候錢就變少了,但服務沒有變,我的薪水要增加,這很奇怪,尤其很多企業是用價格標,不重品質只重價格,就跟吃維他命只吃便宜的不看效果一樣,沒有意義。 資訊安全不是只有資訊而已,已經擴大到工業控制,從物聯網也好,工業4.0、自動化智慧化,所以為什麼去年我們去幫台積電做了鑑識,因為這已經擴展到工業上的資訊安全。

主持人:資安人才怎麼培養,是不是也請吳總分享一下?

吳乙南:資安人才培養我們現在有一些廣泛的作法,我們從小扎根,從企業社會責任來說,會去對一些中學、大學等等做資安理念的推廣,再來就是我們通過產學合作,提供一些工讀跟實習機會,還有提供一些專題跟老師合作,廣泛的去做資安的一個部屬。 再來商機擴大的情況下,像AI不是只有懂資安的人,還有懂統計的人才等等,這樣才可以在資安議題上開花結果,當然前提是預算要足夠,不然企業為了要負社會責任,忍痛接受殺價的行為是不健康的。