資安人才那裏來?
Published by Yi-Lang Tsai under 隨筆散談 on 8/21/2022 09:35:00 下午
在歷年辦理的資安活動,不論是小型的研討會或是大型的資安會議,也有資安競賽以及許許多多的培訓課程,一路走來對於有興趣接觸「資安」或是已在其中的參與者,不管是還在學的學生,或是已經進入社會的專業人士,大家對於學「資安」、做「資安」這件事,在心態上實在是相差很大,常常英雄主義掛帥的時代中,往往陷入了以自我為中心來思考事情,現在的學生其實滿幸運的,因為「資安」即「國安」,政府願意投入許許多多的資源,最早還可以讓還在學的學生能夠在國中、高中就有機會接觸到「資安」的領域,大多數除了學習基本的資安原理外,學習工具的使用是目前最常見對於「資安」的學習方式,相對於跟我同世代對於「資安」領域有些研究的人而言,現在的學習管道實在是太多元化了,不過反過來看目前的學習方式,只重視工具的使用,而不重視資安道德的養成,強調自我為中心的個人表現,而不重視團隊合作所產生的結果,以「競賽」做為學習成果的評量方式,而失去了品嘗學習「資安」的過程所帶來的心滿意足,當我們解決了一些發現的問題時,其實背後可能還有其它的問題尚未被發現,這也是資安讓人又愛又恨的原因。
組織中對於資安的重視程度,只需要看這個單位如何對待負責資安的員工即可,有時候協助一些資安稽核的工作,會發現一、兩位人員都是以砲灰的角色出現,什麼問題就是這少數的人員來回答,除了資安的業務之外,也不難發現其實這些辛苦的人員都還有其它一堆的事要處理,那我們該如何培養出所謂的「資安人才」呢?每年的研習時數或是照著行政院資安處所發佈的證照來清點,就是符合要求的資安人才嗎?經常投身教學現場的第一線,就不難發現有的單位經過了三個小時的課程,問說「有沒有問題?」居然是沒有反應的。
離開服務20多年的法人單位,除了打造自己的下一個黃金十年之外,也希望能夠不再受限於執行計畫時的限制,無法落實真正的資安人才培育,幾年前雖然帶領團隊打造了以 IaaS (Infrastructure as a Service) 為服務型態的 CDX (Cyber Defense eXercise),主要提供給政府單位以及學校的老師進行實務課程的講授,不過也因為先天架構上的限制,並無法真正的實現資安實務型的教學情境,原因在於多數的老師善長講授理論知識,而不善於設計實作的環境,因此幾年下來其實真正在上面開發出實作環境的課程並不多,再加上課程教材的維護不易,經常聽到的就是課程的教材內容過於簡單或是所使用的工具軟體版本過於老舊,而無法跟上現在學習上的需求。
CDX網站 https://cdx.nchc.org.tw/
從 2015 年由教育部資安人才計畫推動的「AIS3 新型態資安實務主題課程」,應該是目前許多學生都希望參加的培訓課程,經過報名、前測與甄選的過程,進行主題式的課程培訓,由國內外許多資安專家擔任講師,培育新生代的學生研習資安的專業技能,經過這幾年來的推動,也有許多的成果。
AIS3 網站 https://ais3.org/
「資安卓越中心人才培訓課程」以強化產業資安人才進行實戰人才培訓為目的,一樣採用報名與審查資格的方式,錄取政府與產業的資訊或資安人員進行培訓,透過實作的課程來學習資安的知識,不過如果只是把對學生培訓的方式,移轉到對產業人員的培訓,那就搞錯對象與用錯方法了。
由工業局所推動「ACW 跨域資安產業強化推動計畫」,以強化產業資安能量為主要目標,其中最大的特色是提供真實的資安產域,可做為資安人才培訓時的訓練環境,以目前幾個接觸過由政府主導的資安推動計畫,是比較能夠與產業連結的,提供「產業資料庫」、「標準驗證」、「找資安」、「做資安」、「學資安」配合「沙崙基地」進行主題式的推動。
ACW 網站 https://www.acw.org.tw/
看了過去幾年來政府所推動的「資安人才」培訓,那為什麼從企業的角度來看,還是覺得找不到資安人才呢?其中的原因在於目標對象(TA)的設定,以及產業需要的人才職能不明確所造成,看了政府投入大量資源所辦的這些課程,所設定的學習內容欠缺了在產業需要處理的 80% 問題,例如:各類型資安設備的維運管理、資安政策與防禦規則的實作、資安事件的處理、資安數據的分析等,而規劃了大多數在職人員平時用不到的 20% 高階的技術,例如:逆向工程、惡意程式分析等,而未設身處地的從產業人員的需求進行職能的培訓,當然就無法看到後續的成果。
建置一個長期能夠提供產業人才培育以及資安人才養成的基地,是許多人的期待,但是除了政府的投入之外,亦需要產業的支持,畢竟在國內資安人才缺口甚大的情況下,如何協助國內資安產業的發展,以及讓產業具備資安的素養,在職人員擁有資安的職能,是最刻不容緩的事。