[專訪] Pamela Warren：打造安全的數位國度需要人人參與

去年開始，行政院成立了資安處，推動《資安管理法》，總統蔡英文也喊出「資安即國安」的口號。不僅如此，美國更宣佈了一項經費高達 190 億美元的國家資安行動計畫，英國也宣佈投資 19 億英鎊推動英國國家網路安全戰略，鄰近台灣的新加坡政府更編列了 1.9 億新幣推動國家級網路安全戰略。

由此可看出資訊安全防護，不只是企業的事情，更是必須聯合政府一同發展完整的資安政策。而長期負責政府資訊安全防護建議的 Palo Alto Networks 政府與產業推案總監 Pamela Warren，在本刊專訪中分享她過去在各國推動資安防護的心得，為企業與政府提供多項資安政策上的建議。

政府也面臨數位轉型的挑戰

Pamela Warren 首先陳述許多政府面臨的現況，一是「雲端優先 (Cloud First)」的推動，許多資料與資訊系統均往雲端轉移；二是提倡「共享服務 (Shared Services)」，如無線網路存取服務；三是「網路統合 (Network Consolidation)」，將過往各自獨立、分立的網路進行統整；四是建議可信任的 Internet 連接點；五則是當局威脅的集中化，過去隨機發散的資安攻擊已逐漸變成長期化、集中化。

如此情況下政府機構的資訊發展便面臨挑戰，例如變動太快、許多人奔忙於解決問題等，導致組織不能專注在重要事務上，或得投入大量心力在資安攻擊防範上，且資訊孤島的情形使防範效率低落；也基於這兩點，使政府組織尋求創新技術來解決資安問題的腳步變慢。上述挑戰的反面即是政府成功數位轉型，包含專注在重要事務上、成功防範網路攻擊，以及快速採行創新科技。

政府機構若想實現成功數位轉型，Warren 認為須以兩要素為基礎才能構築，一是自動化，二是網路保健，以此再搭配三要點，包含資安防護的最佳實務、可付諸行動的資訊智慧，以及資安防護專業培育等。

如同俗話所言「工欲善其事、必先利其器」，工具有落伍先進之別，落伍的工具如弓箭、石頭，是難以讓組織機構進步的，相對的自動化即是良善的工具，而先進的工具並不意味著一定要花錢，也有許多免費工具軟體可供搭配運用。先進的工具也意味著群策群力與時俱進，Palo Alto Networks 即有加入並參與 Cyber Threat Alliance 網路威脅聯盟，為產業的資安防範貢獻心力，一同抵禦日益刁鑽的網路威脅。

另外 Palo Alto Networks 也於 2012 年參與美國太平洋軍演（軍事演習），演練的情境如某個島國失去通訊聯繫、與外隔絕時當如何因應。類似的演練也有政府發起對資訊進行測試，例如新加坡政府即進行首次的國家級資安防護測試，共有 11 項關鍵資訊基礎建設受測，包含交通系統、金融系統、醫療系統、教育系統等，一旦系統遭攻擊或癱瘓時當如何應變。對此 Warren 也強調：若期望組織的資安防護能力能快速成長，實際演練是最佳途徑。

Palo Alto Networks 推動人人懂資安的 Cyber Range 計畫

不過，大規模的攻防演練並非時常有，機會可遇不可求，因此 Palo Alto Networks 亦提供資安實戰攻防演練 (Cyber Range)，在全球各地設有體驗教室，如美國東岸的 Reston、美國西岸的 Santa Clara（矽谷），以及歐洲荷蘭的阿姆斯特丹。Palo Alto Networks 體驗教室的期許目標即是「Assess Security Best Practices」，言下之意可以在這裡接觸學習到資安領域的最佳實務。

有關 Cyber Range 課程 Warren 進一步說明，課程其實分成 Level 1、2 兩個層次，前者在於路由器、防火牆、釣魚程式、勒索軟體等，屬於單項且局部的，後者在於更廣、更深的攻擊，屬於更長期、更針對性的威脅。

也由於資安問題日益嚴重，資安專業人員需求大增，身為女性高階主管典範的 Warren 很鼓勵企業在職女性轉投入資安工作，就她的經驗，許多企業內勤女性因工作需要、好奇等而接觸 Cyber Range 資安課程，進而學習成長而有成就自信，最後真的轉職到資安領域。

Cyber Range 還在持續強化提升中，Warren 表示，除上述三個地點外，澳洲的雪梨也在近期開始，Level 2 的課程也較為新進，約在七月份開始。

除演習、體驗課外，Warren 也談到其他需要實際上手的資安工作坊，如 ICS/SCADA(Industrial Control Systems/Supervisory Control And Data Acquisition)，此主要著眼在工業控制系統的防護，要考慮的防護層面與過往不同且面向更多，包含導航系統、燃油系統、建築管理系統等，顯見資安邊界範疇的定義改變中，從資安系統擴展延伸到各類型自動化系統。

完善的資安防護其實能增加使用者生產力

回到前述的政府資安挑戰，在攻擊防範上 Palo Alto 滿足了政府設立的優先性需求，運用威脅智慧分析、智慧性關連、智慧性防範等達到多項防護需求。在網在網路統合的推動上，Palo Alto 可以做到端點防護、行動端防護、閘道器防護。在「雲端優先」的推動上也實現了公有雲防護及前述的行動端防護。

另外 Palo Alto 也支持資料保護推動案，力求國民與員工的關鍵資料都能合乎個資相關法令的規範。此外 Palo Alto 也運用端點防護、閘道器防護技術保護敏感性資產，如機器人、溫控系統等。

有關行動端防護 Warren 也舉實例，英國閣員辦公室即採行 Palo Alto 的防護方案，使辦公室的工作者獲得更佳的網路連線、更廣泛的應用程式選擇、用行動裝置辦公，以及即時協同文件作業等，職員表示資訊設備與環境使用的舒適度如同在家般的便利。而在過去，較高的職場資安防護通常意味著較慢的連線、只能使用限定的應用程式、只能用固定位置的資訊設備辦公、各成員的工作無法即時溝通串連。

最後 Warren 也推薦一本書，書名「Navigating the Digital Age（暫譯：數位年代的導航）」，這是一本針對董事與企業高層而撰寫的資安指南。書中建議要建立發展 3 至 5 年的資安計畫，且建議企業對於變更開發須保有敏捷性，因為企業將面臨新的有心者、敵對者、新的推動方案、新的技術創新等，此呼應一開頭即提及的：「專注在重要事務上、成功防範網路攻擊，以及快速採行創新科技。」

Warren 也建議政府單位在資安建置導入外當善用資安委外，委外可立即獲得較新的資安團隊經驗實務、較快的應變程序、較先進創新的防護技術等，使寶貴的組織人力獲得釋放，另也當評估採用人工智慧 (AI)、機器學習 (ML) 等技術來減少資安人員的關注心力。

最後 Warren 也分享一份調查，顯示資安人力編制吃緊的事實，調查中顯示只有 15% 的受訪單位認為有足夠的人力進行資安防禦，其餘多表示需要增加人力，由此可知政府機構組織能否安全平穩地行向未來，資安人力配置將是關鍵所在。