如果資安即國安,就別再用香蕉般的待遇找人

用香蕉當作代價,找來的只會是猴子,如果說台灣政府的資安真有什麼關鍵可以扭轉現況,我想待遇與工作環境會是首要需要改善的;因為全世界都在搶資訊人才,沒辦法期待有多少人願意像唐鳳這樣子委屈自己到一個薪水比較差、工作條件又很糟的環境中工作,這是很現實的問題。

過去短暫待在政府部門期間,我沒有透過特殊工具就曾經成功取得全國性系統的管理者帳號權限,也曾在內部用的系統操作過程中發現可以取得其他人密碼的方式,基本上發現了都會通報給管理單位,但這些問題在軟體設計階段就已經存在,即使放了再多防火牆也沒辦法阻止資料外洩或更嚴重的資安問題,因為許多資訊系統的承辦人員並沒有對應的專業,更有許多單位的資安承辦人員形同虛設,畢竟如果簡單上個課就可以達到相當水平,大概也不會有層出不窮的資安問題了。

台灣的政府單位在資訊化程度已經是世界領先地位,各種政府部門之間經常有同樣的資訊系統需求,如果集合全國需求進行通用性系統的研發,就有機會運用新的設計一舉改變大量舊有系統的缺陷;同時許多應用領域已經可以找到成熟的開放原始碼應用,我們可以站在巨人的肩膀上去延伸,不一定每個需求都得從零開始,但健康的開發生態還是得拉回到政府體制內進行,長期倚賴標案外包進行開發工作,除了廠商本身只想追逐最低成本作法,也經常遇到換廠商被迫更換系統的問題,讓操作資訊系統的經驗累積付諸流水。

許多人都像吳怡農一樣建議成立專責單位,但正式資訊職系的公務員很多都離時下技術非常遙遠,如果沒辦法找到對的人參與其中,投入再多資源也很難發揮效果;美國也意識到沒辦法在既有公務體系找到合適的人協助,所以歐巴馬總統在任期間設置了「18F」單位,以接近業界水平的待遇與工作環境延攬適合的人才為政府服務,因為確實帶來了許多正面影響,現在這個單位已經成長到 120 個人左右的規模,跟美國的各級政府單位合作開發資訊系統。

隨著科技的進步,我們已經不太能夠想像活在一個沒有資訊系統的世界,但在萬物聯網以及人工智慧等等浪潮之下,資訊安全不再只是關起門來就能夠解決的課題,期待眼前陸續爆發的資安漏洞可以讓大家思考根本的解決之道,我的建議就是用對的待遇,找到對的人,然後把事情作對!

評論