物聯網的資安攻防大戰！臺灣該如何見招拆招？

110/09/22
曾繁安
科技大觀園特約編輯
資策會資安科技研究所王仁甫策略總監專訪

5G 科技讓萬物聯網的新紀元已經來臨，代表著機器與機器溝通，人類過上全自動化的超便捷生活不再是夢。但這同時也意味著科幻電影中，邪惡駭客組織攻占重要機關的主機系統，引發一連串資安問題，甚至攸關社會國家安危的重大事件，也可能在現實中發生！
科技帶來的便利與風險並存的這個世代，來聽聽資安專家——資策會資安科技研究所王仁甫策略總監的精彩分享，一起思考 5G 物聯網下面對的資安挑戰。

一起跟資安達人瞭解 5G 如何翻轉我們的生活！

「16 年前一個月黑風高的夜晚，博士班學姐的一通電話，讓我踏上資安這條不歸路……」

問起投入資安領域的契機，王總監用打趣的口吻開場。當時在學姐的建議下，他參與了設計國内第一個資安指標的工作，從此開啓與資安的不解之緣。自稱「資安界 56 哥」的王總監，雖非一般人熟悉的另一位仁甫兄，但他對科技資安研究的敏銳觀察與豐富經驗，肯定令人甘拜下風。

他談到，4G 網絡的發展令網紅經濟崛起，你我都不曾想像『點讚、訂閲、打開小鈴鐺』會變成一種常態。而接下來的 5G 物聯網，將帶來更大的轉變與衝擊。

為什麽比起 4G，5G 有「大頻寬、高速率、低延遲」的特性？這是因為目前 4G 所在電磁波區間（約 450 MHz ~ 3800 MHz）已塞滿用戶，讓網速變得越來越慢，因此人類便把腦筋動到頻率更高的毫米波頻段（約30 GHz ~ 300 GHz）。增加了 5G 的區段，就像從塞爆的車流中，移到空曠的新路上。而頻率越高，頻寬也越寬，這條道路不止空曠而且比原先的更寬闊，於是訊息的傳遞能暢行無阻，理論上可比 4G 快一百倍！

「5G 最重要的，就是可以達成邊緣運算（Edge Computing）。」

王總監舉例，自動駕駛和遠距醫療還未普及，是因為傳統仰賴的雲端運算（Cloud Computing），傳輸訊息的速度不夠快，且成本高。雲端運算可以比喻作中央集權制，凡事都要經過朝廷皇上批閲議決，效率自然較低；但邊緣運算就像地方分權，讓數據可以直接在收集端附近實時處理和分析，無需先上報到雲端進行存儲、管理和分析運算，節省了上傳等待運算的時間，也減輕網絡和服務器的負擔。

在高速公路和手術檯上，微秒之差就是生死關頭。而 5G 搭配邊緣運算，大大提高的數據傳輸速率與極低的延遲，讓自動車之間可以維持安全的相對距離，遠端控制的手術刀可以精準無差地落在正確的部位。

也有賴於 5G 科技，需要大量運算資源的人工智慧（Artificial Intelligence，AI）也可以實現。這些發展促成物聯網（Internet of Things, IOT）的建立，機器和機器之間可以達成溝通，整合各方數據資訊，迅速有效率地完成各種指令。小至個人智能家居，大至工廠機械、重要基礎設備如水壩、發電廠等等，都能踏入數位自動化的新境界。

越方便就越危險？機器與機器的連接也要小心

不過，5G 的特性也改變了用戶與網絡間的關係。傳統 4G 是直鏈狀的系統，由電信商自上而下提供網絡，再經由應用程式界面（Application Programming Interface，API）提供服務給用戶，存在一個封閉式的層級關係。但速率快、訊號覆蓋範圍較小的 5G（注1）， 則是由邊緣端、應用裝置及用戶組成，數據傳輸相互往來的三角形體系，不再有上下權限差別的限制。為了形成物聯網提供更多應用，5G 網絡也變得更對外開放，被駭入的風險也會提高。

研究專長為駭客行爲的王總監提到，如今網絡犯罪的作案手法越來越多元。過去搶匪洗劫銀行，還要擔心實體鈔票金條太重，扛不動。現在駭客只要動一動手指，就能利用惡意程式讓銀行的上億元瞬間消失；或使用勒索病毒，鎖定廠商的資料庫，再以巨額款項要挾，否則就把重要生產機密銷毀或公諸於世。

「5G 應用得越深，危害的情境就越高。」

未來 5G 物聯網可能面對的兩大資安威脅，包括用戶 IP 可能被駭入後，可能被用作惡意中繼站或跳板繼續攻擊另一方，讓受害者同時也成了加害者。再來，當物聯網涉及的層面越來越廣，假如被不法分子入侵掌控的是自駕車、基地台，甚至是重大國家基礎建設如水壩、發電廠等等，造成的損失傷害不堪設想！

網絡戰資訊戰開打，台灣如何接招還擊？

從個人角度，平時養成謹慎小心的習慣，不隨便亂點不明連接，隨時留意最新的網絡犯罪手法，是保護自己的不二法門。但在通訊科技發達的今時，第三次世界大戰很可能就在網路上發生，資安可是攸關國家安危的重大議題。

自 2016 年起，台灣便喊出「資安即國安」的口號，而王總監也參與在草擬「資安即國安」1.0 與 2.0 戰略的工作中。在1.0 戰略中，首要步驟就是將資安鐵三角（資訊安全、通訊安全、國家安全）正規化。政府也修訂相關法規，將資訊和網際空間延伸為國家主權的一環，並把駭客攻擊與竊取智慧財產，納入情報蒐集的工作，才能為網絡戰做好準備。

「守護要自己來，就需要有人才。沒有資安人才，就沒有基礎的資安；沒有錢投入，也不會有資安人才。」

王總監强調，一個國家的資安要做好，最重要的就是資源與人力的投入。如果國内資安產業沒有妥善發展，資安人才缺乏，就必須仰賴國外的產品。若系統程式都不是由自己人開發，而是假手於他人，便難以確保檢測過程的可靠性，往往等到資安事件發生後，才驚覺漏洞的存在。因此，政府也編組了多支專業團隊，培訓資通電軍與資安產業人才，為國内資安把關。

而「資安即國安 2.0」的重點，除了規劃新設數位發展部、成立專責的資通安全署，就是主動式防禦（注 2）——與其乖乖等著被人打，不如自己先請外部團隊攻擊自己，作資安測試，去找出資安漏洞和弱點！舉例來說，業界為了找出系統防禦上的漏洞盲點，常會委外進行紅隊演練（Red Teaming）。就像在進行軍事演習，紅隊扮演進攻方，以無所不用其極的方法嘗試入侵，同時驗證藍隊防守方的偵測與回應能力。這樣的演練成本可不低，一次就要三五百萬臺幣起跳。

但台灣不用付錢，就有免費的資安攻防演練！王總監如此笑言。這是因為，在全球最常受駭客攻擊的國家排行榜上，台灣可是位居前列。根據網路資安商 Fortinet 的報告，2021 年第一季台灣遭受到超過兩百萬次的駭客攻擊，平均每分鐘就會遭遇逾 15 次的攻擊！所謂危機就是轉機，這些源源不絕的攻擊，也讓台灣深具適合發展資安產業的龐大潛力。王總監認為，資安產業要像台灣未來的台積電，扮演護國神山般的角色。

想投身資安產業？不需要獻出心臟，只要有一顆熱忱的心

「投入資安產業不要限科系，但是要有一顆熱忱、學習的心。」對於有心想往資安領域發展的年青人，王總監給出這樣的建議。

雖非資訊科學出身，但大學的工程背景，讓王總監有了程式語言的基礎。後來他取得經濟學、法學雙碩士，前者使他瞭解產業界的趨勢走向，法學則令他知曉資安重合規性與合法性的重要。在科技管理與智慧財產權領域的博士論文中，他則從社會學、科技研究的方法分析駭客行為。他表示，跨領域的學習可以讓他從更廣濶的視角，釐清各方問題之後，找到痛點，來提供更好、更全面的科技與資安政策。

王總監指出，這一代除了要與人溝通，還要學會與機器溝通，所以掌握好程式語言的邏輯基礎是重要的，因此王總監所在的資策會資安所，除了研發研發資安監控平臺，將研發的成果技轉給業界，同時他也擔任台灣駭客協會(HITCON)理事和社團法人臺灣校園資訊安全推廣暨駭客培育協會(TDOH)理事，推展培育資安人才的各項活動，未來希望能舉辦小朋友駭客營，讓孩子在小學階段就能接觸和體會程式語言是有趣的。他也勉勵年輕人，能力好的可以負責找漏洞和抵禦攻擊，站在資安攻防戰最前線；即使程度不夠拔尖，也可肩負資安維運的工作，在各自的崗位上適才所用，都能為守護資安和國安，盡一份心力。

根據光速等於波長乘以頻率（c = f × λ）關係式，我們知道頻率越高的波段，波長越短，穿透能力強。所以 5G 電磁波訊號遇到障礙物時，會想强行穿越而非「繞」過，繞射能力弱，造成散失的能量大。因此 5G 雖然有著高速率、低延遲的優勢，弱點就是訊號覆蓋範圍小，故需要設置夠多的基地台方可實現，而電信服務商會提供用戶建設專網——既不同於覆蓋範圍大的公網，而是擁有特地目的、獨立運作的網絡系統。

此外，主動式防禦也包含三要素：歸因、阻斷、減災。歸因便是找出攻擊的背後原因，釐清駭客的犯案動機，才能對症下藥。再來，對惡意程式來源進行阻斷，往後才可以減少再次被入侵的風險。

附圖：王仁甫
和台灣知名藝人同名同姓的王總監，説話風趣幽默，整個採訪過程充滿笑聲。圖／台灣資安大會
邊緣運算架構
邊緣運算架構與傳統雲端架構不同的地方是，資料將改放在網際網路和本地網路之間的邊緣運算層作處理，等資料變少了，再將處理後的資料回傳雲端。
攻擊
台灣平均每分鐘就會遭遇逾 15 次的攻擊，源源不絕的攻擊讓台灣深具適合發展資安產業的龐大潛力。圖／pexels

資料來源：https://scitechvista.nat.gov.tw/Article/C000003/detail?ID=0853796d-0b42-4a72-a0cb-ed70ddad9f77&fbclid=IwAR2H03H3PtQ6JhtQIy6KpMaz78iFa7NBgfizoTzEbAGba_58W6guaSHYBkg

📢國發會FANs潮流–「資料開放應用獎」之地方創意無限


資料開放可增進政府施政透明度、提升民眾生活品質，滿足產業界需求，對於各級政府間或各部會間之決策品質均有助益。國發會在今年舉辦「資料開放應用獎」，藉由產學界專家與民眾評分票選機制，鼓勵各機關優化資料開放作業。


🏛臺北市政府
「臺北市政府資料開放平台」榮獲國發會「政府資料開放獎勵活動」資料開放應用獎首獎。透過資料開放平臺，民眾可免費取得臺北市開放的預算、警政、食安、交通及各項市政即時資料。

📍「臺北市政府資料開放平台」以「開放政府、全民參與、公開透明」的理念發展一系列的應用，例如：「治安透明 市民安心」犯罪案件資料熱點視覺化應用、環境空氣品質「資訊查詢網站」、「預算資料視覺化」等多項便民服務。


🏛臺南市政府
「OPEN台南1999-聽見臺南的聲音」是本次地方政府在應用獎的另一個閃亮的巨星。臺南市政府研究發展考核委員會將1999市民專線派工案件開放於臺南市政府資料開放平台，同時也公開了應用程式介面(API)，透過公私協力，應用現代科技防止登革熱疫情散發；並運用分析停車場的資料，讓臺南的民眾於停車時更加便利，減少違停案件。


臺北市政府資料開放平台傳送門👉https://data.taipei/index
OPEN台南1999-聽見臺南的聲音傳送門👉http://1999.tainan.gov.tw/


#國發會 #NDC #國發會FANs潮流 #資料開放應用 #臺北市政府 #臺南市政府

金管會終於敞開雙臂，與FinTech新創面對面，四大需求最急迫

12月8日下午，金管會首次敞開雙臂，跟18個新創團隊面對面溝通，聽取意見。座談會上，業者提出各種面臨的挑戰，包含法規制定，希望調降多項限制門檻；統一開放資料的格式；最後，業者也希望可以提高監管機關的層級，傚仿新加坡MAS的作法，打造臺灣金融科技中心

文/沈庭安 | 2016-12-09發表

為推動Fintech，金管會昨日（12月8日）下午舉辦座談會，和金融科技創新基地（FinTechBase）所評選出的18家新創業者對話，每家新創有5-10分鐘的時間可以暢所欲言，提出在臺灣Fintech市場面臨的所有問題，內容包含法規太過模糊，希望調降多項限制門檻；開放資料的格式不一，新創業者期望可以推動Open API，將開放資料的價值發揮到最大；最後，業者也希望可以提高監管機關的層級，傚仿新加坡MAS的作法，打造臺灣金融科技中心。

這場座談會歷時4小時，金管會由金融科技辦公室執行秘書蔡福隆領軍，帶著銀行局、證期局、保險局等單位，一起聆聽新創業者的意見。在每家新創發言完畢，金管會人員也即時給出回應。新創業者皆表示，很高興金管會給出這樣的機會，讓他們將意見上達。尤其，金管會10月份宣布提供金融科技新創業者輔導及諮詢窗口，僅提供2支諮詢專線，以及1個電子郵件信箱，要求業者用書面方式提出建言的古板方式，效果不彰，這次的面對面座談會給雙方機會深度對話，瞭解臺灣Fintech的具體困境。

「如果金管會提出的諮詢窗口有用，今天就不需要這樣的座談會了。」25家新創之一的安永金融科技公司共同創辦人張一心說道。現場氣氛熱烈，東吳大學金融科技開發中心執行長蔡宗榮也表示，希望這樣面對面的座談會可以持續舉辦，「這是一個好的開始，產官學研都有代表來參加，未來甚至可以用議題式的方式來舉辦。」

今年四月份，在金管會的指導下，台灣金融總會宣布成立金融科技創新基地（FinTechBase），要建構臺灣金融科技生態圈，扶植新創公司並且培育相關的產學人才。該創新基地也委託資策會大數據所執行「金融科技創新基地新創輔導」，目前已經召募2梯次，評選出25家具有潛力的Fintech新創團隊，其中有18家業者在座談會上發聲，各家包辦的Fintech業務範圍十分多元，包括電子支付、機器人理財、金融旅遊應用、區塊鏈、P2P借貸平臺、以及身分識別認證工具等金融科技創新主題。

除了金管會與新創業者之外，Fintech的主題也吸引政府各單位的注意，行政院科技會報辦公室、立法院副院長蔡其昌辦公室、台北市產業發展局以及財金資訊公司等，到場聆聽Fintech新創業務，尋求合作機會，顯見各界對Fintech領域趨之若鶩。

業者共同四大建議：監理沙盒、儘速鬆綁更多法規、統一開放資料格式、創立金融科技中心

座談會上，18家業者提出幾項議題，最大的共同話題，就是昨日同時在立法院進行的監理沙盒法案。

多家業者都希望可以儘速有監理沙盒的機制，在法規豁免的前提下，讓產品有試驗的場域，並在沙盒期間有相應的法規修正，在出沙盒後，可以在臺灣本地推出Fintech產品。否則耗費精神所產出的產品無法推行，將是業者出走臺灣的關鍵因素。帳聯網路科技公司AMIS執行長劉世偉表示，「臺灣的研發技術不輸全球，為什麼要拱手讓給國外的大公司？」無法與時俱進的法規，將讓臺灣痛失人才與技術，也無法創造Fintech的生態圈。

而法規的修訂上，業者也有諸多建議。例如機器人理財，希望投顧投信業執照門檻放寬、一次性的KYC、國際市場鏈結與雙向投資市場鬆綁。並且，多家理財新創，如安永金融科技張一心就提出，希望政府推動開放資料標準化，並且利用Open API的方式，讓資料格式統一，避免不必要的人力、時間的浪費，將資料的價值最大化。瑞保網路科技公司以及唐吉軻德的執行長Chris也附和該意見。Chris表示，團隊光是整理資料就花了2年的時間，格式不一是新創採用時的大阻礙。另外，他也希望法規可以開放自主私募基金等。

最重要的是，新加坡金融管理局（MAS）在發展Fintech上不遺餘力，是亞洲第一個推動監理沙盒機制的國家。並且在今年4月初，就設立虛擬金融科技辦公室（FinTech Office），提供一站式服務平臺，協助所有FinTech相關事務，鼓勵全球FinTech新創業者在新加坡設點。各業者都期盼，臺灣政府也可以有此高度，將監管、推動的層級拉高，成立金融科技中心，直接輔導臺灣新創，要有更完善的輔導機制，不只是用諮詢專線、電子信箱來溝通交流。

P2P方面，則有業者希望在使用者同意的前提下，能開放聯徵資料、銀行帳號API，以有效取得借款人身分認證等資訊。除此之外，也有業者提出政府在資訊安全的部份應該更重視，並有更專業的詮釋角度。並且建議參考國外對Fintech新創的鼓勵機制，例如「創新採購」，由政府帶頭，採購新創服務。並且推出新創團隊營業稅收減免、人力資源補助、市場推廣以及專利權補助等。

針對各業者的意見，蔡福隆以及金管會各單位也逐一回應。蔡福隆表示，會將意見帶回內部討論，並且在未來建立常態性的溝通機制，要將這樣的座談會延續下去，繼續面對面地溝通與對話。

資料來源：http://www.ithome.com.tw/news/110113