從歐盟資安運作法規與架構,談我國的資安法規課題

2016年9月9日,行政院資安處於公共政策網路參與Join平台提出「如何讓資通安全管理法之制定更符合我國的需求?」徵求建議,也附上《資通安全管理法草案0923版》,正式啟動該法立法之公眾諮詢程序。

隨著近日來一銀ATM事件、雅虎5億筆個資外洩、美中較勁網路攻擊等層出不窮的資安危機爆發,資通安全已經是攸關國家安全的重要課題。本文擬檢視歐盟「關鍵資訊基礎設施保護」(CIIP,Critical Information Infrastructure Protection)的最佳實務運作概況及建議事項,提供我國研議資通安全管理法案之參考。

歐盟CIIP最佳實務運作

歐盟於2004年起即陸續推動其會員國之CIIP,包括對抗恐怖攻擊。2005年歐盟正式發表「歐盟關鍵基礎設施保護計畫」(EPCIP),其中主要措施包括:確認並指定歐洲關鍵基礎設施(CI)之程序。為了強化CI對抗威脅,並取得歐洲人民的信任,歐盟於2013年提出網路及資訊安全指令(NIS-2013,2016年7月修正)。

歐盟網路與資訊安全總署(ENISA)也在2016年1月發表「會員國實施CIIP盤點、分析與建議」,指出要建構有效的國家CIIP制度,可依各自國情境出發,並從下列不同領域之交互影響來評估其CIIP成效:

  1. 政府政策及策略發展,包括策略優先性、目標、措施、公私利害關係人協作夥伴(Public-Private Partnership: PPP)之角色與責任(Roles and Responsibilities)定義。

  2. 治理架構: 建立明確角色與責任,包括發展CIIP責任之公共機構或延伸現行機構之責任。也包括建立溝通通道、與企業合作機制。

  3. 法律與規範: 包括公私部門須遵循之安全標準,如法定式的安全標準、事件報告、安全作業規範等。

  4. 風險管理及消除措施: 執行國家層級、部門層級之資安風險評鑑、因應措施及安全稽核作業。

緊急準備度: 資安事件處理程序,包括例行演練、緊急事件處理程序、CERT危機處理中心機制、對CII提供者之資安專家建議與諮詢。演練可包括特定部門(sector-specific)、跨部門(Cross-sectional)、跨國(International)演練。

  • 威脅知識及資訊分享: 威脅監測與資訊分享、散播(Information Sharing and Analysis Centers: ISAC)公私部門合作機制。

該報告亦建議CIIP良好之實務準則,至少應包括強化利害關係人公私協作夥伴關係、強化資訊分享機制、強化CSIRT(電腦安全事件處理小組)社群合作機制、強化風險評鑑、強化網路危機管理機制、適切之一般性法律架構等,且負責CIIP的國家機構之主要任務通常至少應包括:事件報告之聯絡點(Point of Contact)、組織及進行CIIP相關演練及訓練、CII(公私部門)提供者之諮詢顧問服務、事件處理(incident response)、政策或策略研議、國家CII安全監測、提出規範或立法建議、國家CSIRT監督。

在歐盟會員國負責CIIP的國家機構之治理輪廓(Governance Profiles),可以分為:

  1. 分散式:各部門自行立法

  • 輔助性原則:由事業部門自行負責,或CII提供者自行管理(如愛爾蘭)。

  • 強化公私部門間之合作(如瑞典)

  1. 集中式: 廣泛性跨部門立法- 跨部門集中式(如法國ANNSI-國家安全與資訊總署)

  2. 與私部門共同管理(Co-Regulation): 公私部門平行合作-與私部門制度化合作(如荷蘭)

我國關鍵基礎設施保護(CIP)概況

2014年12月29日,行政院通過《國家關鍵基礎設施安全防護指導綱要》,由行政院國土安全辦公室(國土辦)為負責國土安全防護有關任務之協調機構,負責國家關鍵基礎設施防護之監督、統合,以及跨部門基礎設施防護之協調,並藉由舉辦演練來驗證防護策略及佈署是否到位,進而提升關鍵基礎設施的持續營運韌力及深化國家關鍵基礎設施之防護能量。

各次部門主管機關負責管考及協助其主管或監理之各機關、行政法人、公民營事業等單位關鍵設施之盤點與風險管理工作。該綱要中指出,我國關鍵基礎設施(CI)分類採三層架構。第一層為主部門(Sector),第二層為次部門(Sub-sector),第三層為重要元件設施:

  1. 主部門:分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八類。

  2. 次部門:依主部門重要元件之屬性再區分次部門,例如能源主部門下再區分電力、石油、天然氣、化學與核能材料等次部門。

  3. 重要元件設施:係指維持設施營運所必須之重要設備、運作系統、通訊系統、維安系統,以及重要資訊系統或控制、調度系統等。

2015年起行政院研提《關鍵基礎設施安全防護條例》之立法草案,規範防護範圍及中央主管機關與權責、安全防護之統合機制、強制處分之救濟等,惟該法迄今尚未立法通過。

我國資通訊安全治理現況

現階段政府執行資通訊安全工作之主要依據為2013年12月起之《國家資通訊安全發展方案》(102年至105年)。該期間於行政院設「國家資通安全會報」及「資通安全辦公室」,下設相關分組處理有關業務,業務推動重點包括資安責任等級分級、資通安全管理與維護責任、資通安全長之設置、資通安全維護計畫之制定與實施、資通安全查核、年度資通安全報告之提出、資通安全事件預防通報及應變等。

原本行政院設置之國家資安單位,因政黨輪替而有所變更,至今仍在規畫中。

因資安會報、資安辦公室人員為臨時任務編組,角色與責任之分工容易混淆,永續性較為不足,每一資安事件發生後,就屢受批評;於是2015年10月,行政院首度提出《資通安全管理法草案》,將該方案進行中之組織架構及主要事項納入立法,並提出《國家資通安全科技中心設置條例》立法通過;但後因政黨輪替,該法未通過,而國家資通安全科技中心亦遭撤除。政黨輪替後,行政院又匆忙設置「資通安全處」院內單位,迄今除資通安全處為正式院內單位外,其他資安會報等組織架構皆尚未處理。而一個轄屬於院內的組織,是否適合擔負國家整體資安政策及推動工作,乃是值得更進一步檢討之重要議題。

資安法草案之建議

本次提出之資安法草案內容,看起來是大致延續過去臨時任務編組之作法,但卻未見統籌整合機制、未見各部門明確分工;比較不一樣的是首度把非政府機關之CIIP納入,並提出行政檢查及罰責。筆者現綜合以上國內外背景資料分析,對目前資安法草案提出下列幾種建議看法:

未融入治理精神之機制設計

我國CI、CII及資通訊安全之相關推動工作,都尚能隨世界各國發展趨勢迅速開展,但法規及持續治理機制之建立,始終不甚理想。一般治理之範圍包括建立政策、策略、方針,確保遵循政策、標準及程序,及執行策略及管理風險等。資安法草案第一條之定位為推動國家資通安全政策,加速建構國家資通安全環境,但後續條文對達成上述目標之良好治理核心要素,如歸責、透明、多方參與、即時回應、效率、合法框架等諸多項目,皆尚未能明確設計涵蓋,仍以完全由上而下之管理角度出發,較不符合新形態之治理法規機制規劃。

整體國家安全與資通安全框架定位不明

  1. 資通安全涵蓋之關鍵基礎設施,即所謂CII,需與更上位之國家安全關鍵基礎設施(CI)防護接軌。法規草案中所指之CII實為國家CI範圍內之項目,CIP為CIIP之上位層次,CIIP之規範理應與CIP要求一致,在CIP未有明確規範前,就談CIIP似乎缺乏穩固之基礎,且亦未盡完整之思維邏輯。(目前草案中未敘明)

  2. 草案與其他主管部門相關法規之關係尚待釐清,包括與通訊傳播基本法/電信法(如遇有天然災害或緊急事故或有發生之虞時,政府基於公共利益,得要求通訊傳播事業採取必要之應變措施)、個資法、金融保險、醫療衛生等相關法規,是否有重疊競合或衝突之處。

  3. 資通安全之範圍包括跨中央各部會、跨中央與地方、跨公部門與私部門,條文中之中央目的事業主管機關要做很多事情,如應指定CI清單、核定及查核CI資通安全維護計畫、遇重大資安事件之行政檢查及罰則執行等,其機制屬由各目的事業主管機關分散自行處理方式,屆時各部會步調、品質要求不一,全國資安保護成效,即會受到很大影響。因此建議全國資安政策及推動,應有統籌整合、協調及管理之明確權責設計。(目前草案中未敘明)

  4. 推動組織僅說「政府應提供⋯⋯」(第3條)、「行政院應(得)⋯⋯」(第4–7條、第9條)、「公務機關應(得)⋯⋯」(第11–13條)等,包括公務機關得設置資安長,反而國家資安長、跨部會協調機制(以前之資安會報)皆未敘明,缺乏法規基本需有之角色與責任(R&R)基本精神;法規草案又無主管機關設計,法規中權責不明致可能無法發揮預期成效。

為強化公私利害關係人協作夥伴(PPP)關係

利害關係人公私協作夥伴(PPP)在CIIP機制中,被認為是一項比較有效的重要機制之一,應設計如何協助私部門提升資安能量及強化公私協作夥伴之相關誘因機制(如芬蘭甚至對公司投入購置資安設施享有減稅等)。

未強化網路危機管理機制

草案中有敘明因應資通安全事件應向中央目的主管機關通報及應變機制,必要時得執行必要行政檢查等。惟如遭受全國性大規模網路攻擊事件,涉及跨中央目的主管機關需有之明確、快速因應之緊急動員機制,目前草案中並未敘明。

未強化風險評鑑與管理

執行國家層級、部門層級之資安風險評鑑、因應措施及安全稽核作業,被認為是良好CIIP實務原則之一,目前草案中未敘明,建議應至少將進行國家層級之資安風險評鑑納入,以作為CIIP提供者之認定及資安防護項目之依據。

行政檢查及罰責之依據較為薄弱

草案中對於非公務機關CII提供者強制規定有訂定資安維護計畫及通報應變的責任,包括中央目的事業主管機關之行政檢查及罰則執行等,雖於草案說明中多次引用日本《網路資訊安全基本法》第15條第二項「政府為促進民間業者採取自發性措施,得採取必要措施」,本條應是著重協助及輔導,而非直接對CIIP提供者進行行政檢查與罰則。

另亦引用歐盟2016《網路與資訊系統安全指令》第21條,要求針對違反國家法規之行為制定有效罰則;但歐盟最新對CIIP檢討報告及最佳實務運作建議中,並未包括罰則部分,足見行政檢查及罰則並非CIIP之有效性及急迫性手段。而且草案中要求非公務機關部分之相關配套措施仍較為不足,至少應對CIIP提供者提供資安防護相關技術與制度建立之協助與輔導,並至少訂定一段過渡緩衝之日出條款(二年後實施)等。