Skip to main content
← Back to board (業界新聞)

【2026臺灣資安年鑑|數位發展部資通安全署署長蔡福隆】從制度革新到全民覺醒,守住數位國土的最後一道防線

by
iThome
iThome Bot ·
Posted in 業界新聞
數位發展部資通安全署署長 蔡福隆<p>在臺灣邁入全面數位化與AI時代的關鍵節點上,資通安全早已不再只是工程師或資訊部門的專業領域,而是攸關國家安全、產業發展與社會信任的核心基礎。</p>

數位發展部資通安全署署長蔡福隆不喜歡開空頭支票,也不擅長說大話,卻對每一件具體推動中的事情都如數家珍。他說:「資安就是一個務實、落實的事情。你說的東西再好聽,沒有把它落實下去,都是假的。」這句話,恰恰是理解蔡福隆三十多年公務員生涯以來,一貫的風格。

過去這一年,臺灣的資安政策出現了幾個關鍵節點,首先,歷經多年醞釀的《資通安全管理法》修正案於去年九月公布,十二月一日正式施行;第七期國家資通安全發展方案獲行政院核定,確立未來四年的政策主軸;政府機關的資安長共識營、中小企業的資安防護體系、公私協力的情資聯防機制,也都在這一年裡有了具體的推進。

這些進展,是蔡福隆口中「陸續在路上」的縮影,並非單一事件,而是一連串「逐步成形」的過程,也是他所相信的那種「不是奇蹟,是累積」的實踐。

透過修法,從制度缺口走向治理骨幹

若要說過去一年資安署最具里程碑意義的成果,《資通安全管理法》的修正絕對名列前茅。這部自2019年施行以來的資安基本法,過去幾年隨著威脅環境的急遽演化,面對新型態攻擊與供應鏈風險時,原有法規逐漸顯露不足。

蔡福隆坦言,這次修法不只是條文調整,而是一場涉及政策、產業與國際接軌的全面工程。蔡福隆回憶,修法過程需要同時兼顧政策目標、公部門資安量能現況,以及與國際資安發展趨勢的接軌,牽涉面極廣,「是一項艱鉅且高度挑戰的任務」他說。

修法過程中,資安署廣泛蒐集公部門與關鍵基礎設施業者的意見,並與立法機關多次往返溝通,試圖在可行性與前瞻性之間找到平衡,細部調整後才完成了資安法的修正。

這次修正的內容,實際上,勾勒出一幅更完整的資安治理藍圖。最終形成的版本,涵蓋多項關鍵突破,包括:將危害國家資通安全產品的管理提升至法律層級;擴大政府稽核範圍,涵蓋中央的五院及地方政府等無上級監督機關;強化特定非公務機關的納管範圍;明確要求設置資安長與資安專職人員,並建立政府協助民間因應重大資安事件的法源基礎。

這當中,最具象徵意義的改變,在於政府角色的轉變。蔡福隆特別強調,過去,當民間企業遭受勒索病毒或重大資安攻擊時,政府雖有能力協助,卻缺乏明確的法律授權;修法之後,資安署可以「名正言順」地協助民間企業因應重大資安事件,從旁協助復原與應對。

他進一步以消防體系做比喻:資安署的角色,不該是被動等待求助,而應是讓企業在危機發生時,清楚知道「有一個地方可以求助」。他說:「以前我們去幫忙,是能力問題;現在我們去幫忙,是責任問題。」蔡福隆解釋,這樣的思維,意味著臺灣資安治理從「監管導向」走向「服務導向」的重要轉變。

他認為,就像消防員在火災現場的存在,不是等人求助才出現,而是建立一套讓企業「知道有地方可以去」的完整通報與服務體系。他希望整合刑事局、調查局的受理管道,打造一站式的資安事件報案與協助服務,讓中小企業或一般企業在遭受勒索時,不再孤立無援。「人家需要你的時候,你能夠立刻在旁邊,這就是你的存在價值,」他說。

國家資安戰略從分散防禦走向全社會韌性

如果說修法是奠定制度基礎,「第七期國家資通安全發展方案」則是未來四年的戰略藍圖。

這份方案涵蓋四大策略:全社會資安防禦、提升關鍵基礎設施資安韌性、壯大臺灣資安產業、以及AI新興資安科技應用與合作。蔡福隆強調,這四個策略並非各自獨立,而是彼此相輔相成、形成正向循環——政府擴大資安產業規模,與產業共同培育資安人才,人才再投入政府與產業,讓整個資安防護生態系得以持續壯大,形成一個「資安生態系」。

在蔡福隆眼中,「每一項戰略都很重要,」因為資安本質上是多維交織的系統工程,每一項有它不同的重點跟挑戰,產業、人才、技術、法制與民眾意識,缺一不可。

值得注意的是,這一期方案的「新亮點」則特別凸顯兩個過去較少著墨的領域:一是中小企業資安,以及AI新興資安科技應用。蔡福隆直言,「每一期都有它的時代背景,這一期就是AI的時代。」

AI的兩面性,既是攻擊武器也是防禦盾牌

當AI快速滲透各行各業,資安領域也同步進入全新的競賽。

蔡福隆指出,AI時代帶來的資安挑戰是真實且緊迫的,去年大家開始談「AI打AI」這件事,但現在的場景已不再是未來式,而是現在進行式。駭客利用AI進行自動化攻擊、防守方則必須以AI進行即時分析與反制。他說,「這個趨勢未來只會越來越明顯,挑戰更嚴峻。」

資安署在AI應用上已有具體布局。在主動防禦方面,透過AI進行威脅態勢分析,快速判讀網路資料封包,辨識駭客攻擊組織的手法模式;研發能夠解析系統日誌、推斷未來可能攻擊行為的AI工具。

同時,試辦AI輔助場外稽核,讓機關上傳佐證資料,由AI輔助判斷是否符合稽核要求,突破人工稽核一年僅能進行約四十場的量能限制。

此外,在跨國網路攻防演練(CODE)上,下一輪演練也計畫引入AI,讓攻擊腳本與手法得以快速生成,使演練情境更接近真實威脅。

然而,對於AI的應用邊界,蔡福隆強調:「AI可以做技術對抗,但風險判斷還是人。」AI再強大,也無法取代人類在價值判斷與風險決策上的角色。資安最終仍是一門關於選擇與責任的工作,而非單純的技術競賽。

他舉例說明當中的差異。現在學生用AI寫報告,助教用AI看報告,「大家都用AI,學生的教育訓練在哪裡?最終,最重要的還是人跟人面對面溝通,了解那個人到底吸收了多少。」

他甚至提到某航空公司已規定面試者禁止使用AI撰寫履歷,發現者永不錄用。這或許有些極端,但背後的邏輯,則是對「人的本質能力」的重新珍視。

<p><img alt=”” src=”/sites/default/files/images/0601-%E8%94%A1%E7%A6%8F%E9%9A%86-600-1_(3).png”></p>
<p><span><span><strong>臺灣171萬家中小企業面臨的資安挑戰</strong></span></span></p>

臺灣擁有超過171萬家中小企業,這些企業構成產業供應鏈的核心,但公司規模從兩百名員工到只有一至十人的微型企業,差距極大,需求各異,也是資安防禦中最脆弱的一環。

蔡福隆坦言,這個議題長期存在,但一直難以有效推動,原因不在於認知不足,而在於規模差異與資源限制,使得統一解方難以落地。

面對這樣的現實,他提出三個方向:在地化、雲端化與智慧化。第一是「在地化」——中小企業的資安服務,最終還是要仰賴在地的資訊服務廠商來提供,而不可能直接對接大型資安公司。因此,培養這些在地廠商的資安能力,讓他們在提供IT服務的同時把資安帶進去,才是可規模化的解方。

第二是「雲端化」——中小企業沒有能力自建郵件系統、資安監控中心,解決方案就是讓他們使用雲端服務,讓資安在雲端層面由專業廠商處理,企業本身只需做好端點防護與基本的資安意識。

第三是「智慧化」——引入AI協助中小企業的資安客服與監測,讓即便是資源有限的小企業,也能獲得有效的諮詢與保護。

在具體作為上,資安署與經濟部中小企業署合作,將資安諮詢服務整合進中企署「馬上辦服務中心」的八十條客服專線;與資安院共同推出資安教育訓練影片與「資安星際指南」手冊;也正式對外發布「中小企業資安指引與自我檢核表」,讓企業可以按照自身規模找到對應的防護路徑。

「今年一月份資安諮詢服務專線上線,不到兩個月就有一百六十件線上智能查詢,」蔡福隆坦言:「目前還在宣導的階段。這個不可能短期看到成果,要給它時間。」

資安人才短缺是結構問題,沒有快速解方

資安人才的短缺,是臺灣乃至全球資安界的共同困境,政府部門尤為嚴峻,因為待遇與民間的差距,讓許多具備資安能力的人才選擇流向私部門。

蔡福隆直言,政府不可能在短期內與民間競爭薪資。因此,現階段的策略是——透過培訓既有公務員,以「內部轉調」方式補足人力缺口。

透過與學校合作的職能教育訓練課程,現職公務人員只要修習二十個資安學分、取得資安職能證書及相關專業證照,就可以轉調為資安專職人員。這不是最理想的解方,但是現實環境下最務實的作法。

同時,他也坦承,政府資安專職人員的缺口始終存在。依規定,A、B、C級機關應分別配置四人、二人、一人的資安專職人力,但截至去年六月的統計,仍有超過兩百名的缺口。

長期而言,他認為吸引人才的根本方法,在於讓資安產業有足夠的「錢景」——也就是市場需求與發展機會。「你的產業如果有發展、有錢景,人才才會進來,才會讓自己的人才留在這個產業,」他說,「所以我們希望在推動中小企業資安的過程中,能創造更多對資安服務與產品的需求,帶動資安產業的活動發展,形成正向循環。」

在人才培育的策略上,他構思了三個層次:先是「扎根」,從高中社團、大學課程開始,讓年輕人對資安產生熱情與興趣;再者「普及訓練」,則是透過政府機關的系統性職能訓練,讓資安從業者形成一個相互認識、相互支援的社群;「拔尖」則是辦理菁英班與實戰演練,培養頂尖的資安防禦人才。

蔡福隆表示,他每次參加HITCON等資安社群的年會,看到那些擺攤的高中資安社團,看到這些社團輔導老師的熱情,都讓他非常感動。他認為,提供這些高中生和他們的輔導老師一些資源,讓他們可以做更多的事情,是成本低、效益高的人才育成投資。

今年資安署也在人才培育的機制上,做了重要的調整。他們決定從過去「開課讓人報名」的被動模式,改為主動召訓資安專職人力,讓政府的資安人才不只是被動地接受訓練,更在這個過程中被凝聚成具有向心力的社群。

他對「社群化」有著特別深刻的體認。他說,「只有大家相互認識,才會合作;有合作,才會聯防。如果人跟人都不認識,部會跟部會的資安人力都各自孤立,就沒有辦法有真正的聯防效果。」

蔡福隆希望把政府的一千多名資安專職人力,凝聚成一個真正的政府資安社群,做到「大家互相認識,不要單兵作戰。」

用聯防與對話,打破政府與產業的界線

蔡福隆擔任署長以來,最讓外界有感的,或許不是某個具體政策,而是他的溝通風格。長期以來,公部門與民間資安社群之間,往往存在著一道無形的距離——政策的制定在體制內完成,業界的聲音難以進入決策迴路。

但蔡福隆自從上任後,面對各個資安產業公協會、資安長聯盟、軟體公會、電腦公會、各類資安社群,他廣泛聯繫、主動接觸,願意聽意見,也願意讓政策推動之前先與外部聲音充分碰撞。不少產業人士私下形容他「超親和」、「願意溝通」,這在過去的政府資安主管中,並不常見。

他今年也啟動一個新的機制:定期邀請資安公司參加資安聯訪會議,讓廠商直接分享自己在資安鑑識、防護與情資蒐集上的成果,促進政府與產業之間真正的知識流通,而不只是單向的政策宣達。

在具體的跨部門合作上,資安署每兩年舉辦一次的「跨國網路攻防演練(CODE)」,也是值得關注。以往的CODE演練以紅隊攻擊為主軸,未來將轉型為以藍隊防禦為演練重心,同時引入AI快速生成攻擊腳本,模擬更接近真實的威脅情境。

更值得關注的是,資安署計畫與國內廠商合作,共同開發可以常態使用的雲端演練平臺,讓這個平臺不只是每兩年CODE期間才能用,而是能夠讓關鍵基礎設施機關、政府單位平時就能申請使用,把演練從「偶發活動」變成「常態機制」。這個平臺的產製內容,也將充分運用臺灣作為全球最大「蜜罐」(honey pot)所積累的真實攻擊情資,讓演練的手法腳本更具針對性與實戰價值。

在公部門的資安長共識營上,他也有意識地讓產業界走進政府視野。政府的資安長共識營以政府機關資安長為主要對象,但也邀請學界與社群人士演講,讓與會的政府資安長有機會直接了解產業的最新發展與技術動向。

今年共識營的主題定在AI——這顯然不是偶然,而是因為「AI對資安長來說,是這個時代最不能迴避的功課」。

至於民間的資安長社群,他採取「分流而非統合」的策略。政府機關有政府機關的共識營,民間的資安長透過電腦公會與軟體公會的資安長聯盟各自運作,他會參與、會協助,但不強行整合。「兩邊的特性不同,結合在一起效果不會特別好,」他解釋,「分別各自推動,再做整合是比較好的做法。」

<p><img alt=”” src=”/sites/default/files/images/0601-%E8%94%A1%E7%A6%8F%E9%9A%86-600-2_(4).png”></p>
<p><span><span><strong>關鍵基礎設施是看不見的國安戰場</strong></span></span></p>

臺灣在地緣政治上的高度敏感位置,讓關鍵基礎設施(CI)的資安防護,始終是國安層次的核心議題。蔡福隆說,近兩三年來,政府在這塊的推動重心放在「韌性」——網路韌性、資安韌性、資料韌性三個面向同步強化。

每年大量的演練、演習,不只在測試「有沒有被駭」,更在演練「被駭之後如何快速復原」,像是重要民生系統的資料備份、國內外異地備援、系統的防駭能力強化,都是這些年持續投入的工程。

他也點出一個外界少有注意的具體進展,這第七期資通安全發展方案中,則把IEC 62443這套工控系統資安國際標準的精神,正式帶入關鍵基礎設施的防護建議,讓關鍵基礎設施在工控系統的防護上,有更具體的國際標準可以遵循。

面對外界關心的境外駭客威脅——尤其是中國相關APT組織的持續滲透——蔡福隆並不諱言挑戰相當嚴峻。

他說,AI自動化攻擊工具的普及,讓漏洞利用與橫向擴散的速度從「以日計」縮短至「以分鐘計」;供應鏈與委外管理的疏漏,成為攻擊者的跳板;社交工程結合深偽技術(Deepfake),更讓人員辨識的難度持續提升。

「沒有百分之百的韌性,」他直言,「藉由各方面不斷強化,包括演練、備援、系統防護、情資聯防,這些年政府其實花了非常多時間在做這些事情,只是因為有些東西是國安層次的,外界比較不清楚。」

面對境外組織型駭客的攻擊,他也不諱言臺灣的結構性挑戰在於──各機關資安成熟度的落差,形成了整體聯防強度不均的弱點;供應鏈與委外環節的管控疏漏,往往成為攻擊的跳板;加上社交工程結合深偽技術的攻擊手法日益精密,人員防線的脆弱性無法只靠技術彌補。

「核心防護相對穩健,但基層環節尚存脆弱,」這是他對臺灣整體資安防禦態勢最誠實的評估。他認為,除了技術面的持續精進之外,提升組織治理成熟度、強化人員資安意識,以及深化跨域聯防協作,三者缺一不可。

資安治理長期戰略,從未來威脅轉向日常習慣

隨著量子電腦技術的逐步成熟,現有的主流加密技術面臨被破解的長期威脅。美國國家標準暨技術研究院(NIST)已陸續公布後量子密碼(PQC)標準,美國白宮的網路安全戰略文件中,PQC也被列為重要推動方向之一。

蔡福隆表示,資安署將按照國際發展趨勢推動PQC的遷移工作,包括研訂遷移指引、建立推動策略,以及試行現有技術框架下的漸進式遷移做法。他也坦承,這不是一夜之間可以完成的轉換,「一口氣全部換掉,不可能」,但會有系統性的推進計畫。

這種對「未來威脅」的提前布局,體現了資安工作的一個本質特徵:你必須為一個你還沒有充分看見的威脅做準備,而不能等到威脅已然成真才開始行動。

而在所有的資安工作中,蔡福隆最難以用傳統政府語言描述的,或許是「全民資安意識提升」這件事。他形容,資安意識的推廣,必須完成三個層次的轉化:「去技術化」、「生活化」、「習慣化」。

「我們在這個領域待太久了,講出來都是技術用語,我們覺得這些是常識,可是可能更多的人根本不知道有這件事情,」他坦然說,「所以『去技術化』非常重要。」而資安署對外的溝通,現在也採用非技術的、民眾的語言,「才能讓民眾有所感」,他說。

「就像民眾都知道防災的重要,」他也期待,未來有一天,民眾能夠自然而然覺得——資安怎麼去防範,已經是民眾日常生活的一部分,就像鎖門、繫安全帶一樣。不要等出事了才來後悔。」

資安意識的培育像是一種「信仰」的養成:「資安是信心、信任、信仰。」他認為,要讓它變成一種文化,讓民眾習慣去注意自己的密碼設定是不是夠強、檔案是不是有加密。這需要長時間、系統性的推動。

他也談到,當企業遭受勒索病毒攻擊時,社會媒體的反應往往是嗜血式的批評與嘲諷——彷彿被駭的企業是咎由自取,是出了醜聞,而非是一個受害者。這種氛圍,讓更多企業選擇隱瞞、不通報,反而形成了更大的資安黑洞。

他希望能營造一種氛圍:媒體跟整個社會對這種資安事件,要有同理心,」他說,「被害了,我們應該是協助受害者把資安做得更好,而不是拿出來鞭屍、幸災樂禍。」畢竟,誰都可能成為下一個受害者時,應該要用同理心,一起合作面對共同的資安威脅。

他對強化上市公司資安資訊揭露表示支持,「當企業透明了,大家應該更用同理心去看,而不是把它當作把柄,」他說,「把別人的案例作為借鏡,不需要自己去嘗過那個苦就知道問題在哪裡,這才是對整個產業有正面幫助的事情。」文⊙黃彥棻、攝影⊙洪政偉

<p><a href=”https://www.tenlong.com.tw/products/9789860654356?list_name=srh” rel=”nofollow noopener”><span><span><strong>本文出自《CYBERSEC 2026 臺灣資安年鑑》</strong></span></span></a></p>

https://www.tenlong.com.tw/products/9789860654356?list_name=srh www.tenlong.com.tw
View original 0 Likes 0 Boosts

Comments (0)

No comments yet.