身為重要的銀行業中心,盧森堡歷經數十年努力,持續累積保障機密資訊的相關專業能力,打造最值得信賴的環境。過去 20 年來,網路資安始終是盧森堡政府的重要施政項目。維護網路資安不僅能協助公司與人民有效對抗日益複雜的網路犯罪,同時也強化了盧森堡數位環境的公信力,並將網路資安技能與基礎架構轉變成為實質的經濟資產。
經濟部電子商務與資訊安全處處長 François Thill 指出:「我們集結了各界具備互補技能的參與者,打造網路資安的成熟生態系。」這些參與者包含了大約 150 家公司和專門的政府組織。盧森堡大學的安全可靠與信任跨學科中心 (SnT),與其他公共研究中心,也針對相關領域進行高階研究。
在國際上,盧森堡是受到廣泛認可的網路資安卓越中心,也是贏得普遍信任的數據資料中樞。愛沙尼亞在 2018 年於盧森堡境內成立了全球首座「數位大使館」,專門儲存重要且敏感的政府資訊,此外摩洛哥也正準備在盧國成立第二座數位大使館。在 2019 年初專為強化歐盟整體網路資安所啟動的一系列歐洲前沿研究與協作專案中,盧森堡的表現也十分亮眼,更是唯一在四項專案中參與三項的國家。
分享的文化
政府的要務是提供公司實務操作的工具,協助提升網路安全。對此,Thill 先生表示:「由盧森堡公部門電腦網路危機處理中心 (CERTs) 所開發的軟體,已透過開源授權,提供國內與國際社群使用。同時我們也主動分享了網路威脅相關的各項實用資訊。」
「識別風險並擬定策略,以減少網路威脅,對於任何數位化架構的公司而言,均極為重要。」
眾多的盧森堡組織,均與惡意軟體資訊分享平台──MISP (Malware Information Sharing Platform) 連結;平台享有全球 1,000 家公司所提供的威脅與攻擊紀錄。「這點完全改變了遊戲規則,因為參與的公司不再侷限於只能透過自家記錄檔查看發生的事件,還能完整掌握更廣泛的惡意軟體威脅與攻擊本質。相關當局也可以透過 MISP 識別網路安全趨勢,並推動安全認知提升活動,藉此改善公司因應威脅的能力。」
Thill 先生也積極推廣網路風險管理的民主化與分權化。他指出:「識別風險並發展策略,以減少網路威脅,對於任何數位化架構的公司而言,均極為重要,同時也是一大挑戰。大多數公司,尤其是在這方面缺乏特定專業能力的中小型企業 (SME),缺乏評估風險與後果的能力。我們讓國內專家齊聚一堂,提出結構性的風險評估,並針對主要威脅進行機率與衝擊評量,協助公司因應挑戰。如此一來,企業界也能獲取這些資訊。」
網路保險:新市場
隨著網路風險的相關意識逐漸升高,相應解決方案的需求也不斷成長。為私人企業數位化轉型提供網路安全管理協助的公家機構 Securitymadein.lu 執行長 Pascal Steichen 指出:「盧森堡的網路安全市場已有相當穩定的基礎,並且提供大量商機與潛在的合作夥伴。」
網路資安保險則是目前正在開發的新利基市場。除了針對各種組織提供了網路犯罪攻擊的保障,也能為整體的網路安全層級帶來正面、積極影響。Thill 先生說明:「企業只要符合特定的安全性條件,就可享有保險的保障。這意味著,保險公司將在網路資安問題上扮演「非正式監管者」的角色,尤其是對中小型企業社群來說。今後企業也能仰賴保險業者的緊急支援團隊。」
「這項新利基也意味著保險公司對於投資網路資安公司的意願將逐漸提升。」
經濟部也積極引導保險公司投資網路資安市場,今年盧森堡更出現了第一家針對中小企業推出專屬保單的保險業者。Thill 先生補充說明:「這項新利基也意味著保險公司對於投資網路資安公司的意願將逐漸提升。保險公司需要的則是有能力幫助客戶防止災害的專家,並由雙方充分合作。」
數位身分管理
盧森堡是第一個針對數位身分識別發展高度可靠系統的國家,同時也是率先實施歐盟內部市場電子交易之電子身分驗證及信賴服務 (eIDAS) 規定的國家之一。採用規定可以使其他歐盟居民使用相容於 eIDAS 的數位身分識別,以他們的國民身分證,在盧森堡進行安全的網路交易。這對於擁有大量跨境通勤者的國家而言,是很重要的一步。
然而,在資料經濟中最新且極為重要的一個層面,是移除個人資料中的可識別資訊。Thill 先生指出:「創新所使用的眾多貴重資料,都與人類活動相關。」然而,在歐盟《一般資料保護規則》(GDPR) 的規範下,個人資料的儲存與使用受到十分嚴格的管制。「隱私權是基本人權,因此我不會把 GDPR 看作是阻礙,它反而是一種正確做事,並取得顧客信任的準則。」
「隱私權是基本人權。」
公司從客戶端所收集到的相關重要資料,均必須經過適當匿名處理,方能與他人分享該資訊。Thill 先生表示:「當然,這麼做需要技術層面的解決方案,但問題在於讓匿名化成為可持續的做法。如在結合其他資料序列(包括新屬性)時,或許可實現個人身份的重新識別。」
盧森堡決心為處理資料的公司打造可受信賴的環境,目前針對與 GDPR完全相容的資料假名化和匿名化,開發認證服務。其目的在於獲得國家資料保護委員會(National Commission for Data Protection)和歐盟資料保護委員會(European Data Protection Board)的官方認可。
安全的資料湖泊
盧森堡希望能結合開發中的高效能運算 (HPC),以及含有重要原始資料的重大資料湖泊。該國目前已經成為全球太空資料分析最大資料湖泊的所在地之一。在盧森堡太空局的協助下,頂尖的太空至雲端分析公司 Spire Global 已針對盧森堡所有新創企業、研究機構與公家機關,推出可供免費存取的開源資料湖泊。
為了提供具吸引力的環境,協助公司在完全符合 GDPR 規範情況下,將自家資料與可存取的資料湖泊連結並透過 HPC 處理,接下來,則是針對資料進行處理,建立虛擬、安全且可控的實驗室。Thill先生表示:「如此一來,公司就能透過付費,提供匿名資料存取,由於重新識別的風險低並受到控制,而不會有侵犯客戶權利的風險。我們也能事先分析所欲連結的資料序列,確認對隱私的可能影響,並確定不會有任何資料外洩而危害或衝擊個人或公司的情事。」
新創企業的潛力
盧森堡不斷茁壯的網路資安生態系為新創公司提供寬廣的成長空間。Thill 先生指出:「時至今日,我們還在探索資料經濟的一切相關課題與技術,像是連結大資料湖泊的網路安全公司、高容量通訊等等。此外,資安監控中心、網路威脅搜尋和入侵防護系統,也有廣大商機仍待開發。」
「我們還在探索資料經濟的一切相關課題」
國際公司或新創企業可以進一步強化這項專業能力。Steichen先生 表示:「我們的市場主要為服務導向,因此十分歡迎開發新產品的新創企業加入。此外我們對於人工智慧、金融科技和 HPC 等領域的專家,對專家的需求也很高。」如同他許多國家一樣,對專業人才的需求高於供應。Thill先生總結道:「很慶幸的是,我國擁有許多優勢,足以吸引優秀人才。」
Photos: Jan Hanrion/Patricia Pitsch / Maison Moderne Publishing SA