臺灣在數位信任的基石上，以「軟帶硬、硬帶軟」策略打造全球不可或缺的安全供應鏈。數位發展部數位產業署署長林俊秀結合政策工具與地緣政治機會，基於臺灣從國際資安攻擊的「倖存者」，正逐步建立「可信任資安國家」的國際定位，開創資安產業破千億產值的新賽道年初一個令人震驚的消息在資安圈流傳：美軍在對伊朗的軍事行動中，曾滲透伊朗境內的監視器網路，透過分析IP Camera的影像與流量數據，精準定位目標人物的日常行蹤、開會地點與行動路線。這不是電影情節，而是發生在現實世界的情報操作。數位發展部數位產業署署長林俊秀面對這一系列國際局勢時，有著深刻的體悟。他指出，這場戰爭徹底驗證了資安產業的戰略價值，因為資安防護失守的代價，已經從單純的「資料外洩」升級為對「人的資產」的直接威脅。「資安產業保護的不只是資料，保護的是人，因為人就是最大的資產，」林俊秀強調，如果一個國家的重要領導人在數位監控下無所遁形，甚至因此遭到精確清除，那麼，整個國家將陷入群龍無首的混亂。臺灣，這座每天承受數以百萬計境外網路攻擊的島嶼，正處於這場數位戰役的最前線。林俊秀自上任以來，便試圖在這樣的危機感中，為臺灣資安產業找到一條從「防禦」走向「加值」的質變之路。從「代工解題」到「主導出題」的產業轉身過去臺灣在半導體與Wintel架構下，長期扮演「站在巨人肩膀上」的角色，由國際大廠定義需求與標準，臺灣則憑藉製造能力與效率完成解題任務。然而，這套模式並不適用於軟體、數位與資安產業。這些領域沒有既有的國際依附結構，臺灣必須直接面對全球競爭，從零開始建立產業能量與市場位置。「臺灣過去成功的模式就是半導體，另外就是Wintel的架構 -- -- 人家出題，你來解題，你幫人家代工，就是站在巨人的肩膀上發展。」他分析道，語氣平靜但精準，「但是我們的軟體產業、數位產業、資安產業，沒有這個優勢。必須直接跟國際大廠競爭，從無到有去建立。」也因此，政府角色不再只是輔助產業，而是必須主動「造局」。林俊秀認為，唯有透過政策整合、標準制定與國際通路開拓，才能為產業創造舞臺。在其治理框架中，「數位信任、數位韌性、數位經濟」三者並非各自獨立，而是一體運作的政策系統：數位信任是產業發展的環境前提，數位韌性是技術與制度的基礎建設，數位經濟則是最終目的。而在這整個系統中，資安是橫貫三者的核心要素，既是風險防護機制，也是產業發展的關鍵基礎。這是數位產業署推動資安產業時面臨的根本難題，也是林俊秀認為，政府必須主動介入的理由。當硬體產業可以依附在全球供應鏈的需求上成長，軟體與資安產業就需要政府扮演更積極的「造局者」角色，為業者創造舞臺、整合資源、建立標準、打開國際通路。從防禦需求走向規則制定，臺灣第一次當出題者在眾多政策成果中，最具指標性的突破，莫過於「半導體設備資安標準SEMI E187」的誕生，他認為，這項標準的意義，不僅在於技術規範本身，更在於臺灣首次從標準的「採用者」，轉變為「制定者」。其背景源於半導體供應鏈日益嚴峻的資安威脅。台積電在全球半導體產業鏈中的地位無可取代，正因如此，它成了全球最大的攻擊目標之一。駭客難以直接入侵台積電的核心系統，因此轉而瞄準其上下游設備商，試圖以供應鏈攻擊作為突破口。「你今天用的手機、電動車、AI伺服器，裡面都有晶片，」林俊秀說，「而這些晶片是由晶圓廠生產的，晶圓廠使用的設備如果遭到駭客入侵，這不只是企業的問題，而是國家產業安全與經濟韌性的問題。」數位產業署攜手台積電與SEMI國際半導體產業協會，歷經多輪國際協商，最終推動全球第一個針對半導體設備的資安國際標準。這套制度採用國際ISO體系架構，由符合ISO/IEC 17065的驗證機構與ISO/IEC 17025的測試實驗室執行，並由臺灣認證機構TAF確保公正性與跨國信任基礎。政府負責制度治理與標準維護，但刻意不介入個案驗證決策，確保制度的專業獨立性。當標準成為供應鏈的門檻，市場需求便隨之形成。台積電要求所有設備供應商通過SEMI E187認證，這創造了認證需求；資安公司可以輔導半導體廠商符合標準，形成顧問市場；實驗室負責依標準對設備執行測試，建立本地的檢測產業；整個合規過程中所涉及的流程管理與稽核系統，又衍生了軟體工具的需求。過去由歐美主導的認證與檢測利益，如今逐步轉向在地化，形成可持續發展的產業循環。這四種商業模式的出現，意味著臺灣不再只是參與既有產業鏈，而是開始掌握價值分配的關鍵節點。過去由歐美主導的認證與檢測利益，如今逐步轉向在地化，形成可持續發展的產業循環。今年的目標，是讓臺灣第一家半導體設備資安檢測實驗室正式運作，而SEMI E187的第一張驗證標章，可望在年底前正式發放。這套體系的國際擴散效應也已初步展現：「日本已經有人想要加入我們的認證機構，也想成為輔導機構，」他說，「因為他們自己的半導體設備也要符合台積電的標準。」林俊秀認為，正是這種從「防弊」走向「興利」的策略轉換，也證明：資安不僅是成本，更是驅動經濟的引擎。三年前超前部署後量子密碼，從研究走向產業化相較於制度面的突破，林俊秀更看重臺灣在技術戰場上的提前卡位，其中最具代表性的，就是後量子密碼（PQC）的布局。在量子電腦快速發展的趨勢下，現行廣泛應用於金融、通訊、軍事系統的RSA、ECC公鑰加密架構，在量子電腦面前可能形同虛設。即使量子電腦目前尚未商業化，駭客採取「先儲存後解密（Harvest Now, Decrypt Later）」的攻擊策略，也讓各國政府和金融機構必須現在就開始行動 -- -- 駭客先大量蒐集今日的加密資料，等量子電腦成熟後再行破解。威脅不在未來，它早已悄悄開始。面對這樣的不確定性，臺灣選擇提早行動。在美國國家標準暨技術研究院（NIST）仍在評估演算法之際，數位產業署即委託工研院投入研究，並進一步將成果轉化為可落地的公版解決方案，直接整合於硬體之中。這種由政府出資、法人研發、再技轉產業的模式，大幅降低了業者的進入門檻，使中小型資安廠商也能快速推出具備PQC能力的產品，從網通設備、加密晶片到身分驗證工具，逐步形成完整產品線。目前研發成果已支援NIST最新公布的三項後量子密碼演算法標準，包括：FIPS-203、FIPS-204和FIPS-205，均已通過美國CAVP驗證，其中符合FIPS 205的矽智財更是國內首例通過認證的案例。政府進一步整合產業成立「後量子資安產業聯盟」，匯聚33家會員廠商，並於去年四月發布臺灣首部「後量子密碼遷移指引」，依「盤點、評估、遷移、驗證」四階段逐步推進，已輔導漢翔航空、千附精密、全球人壽等十家大型機構完成系統盤點與遷移評估。林俊秀表示，今年更選定成大醫院、榮總臺南分院作為示範案場，實證後量子演算法解決方案的可行性與安全性。數位產業署的目標很明確，就是：讓臺灣成為全球PQC技術的試驗場（Test Bed），以政府的需求帶動市場，再由市場的成果反推國際影響力。供應鏈資安重構，從合規門檻到產業升級如果說後量子密碼是面向未來的技術布局，那麼國防供應鏈資安，則是當前最現實的競爭戰場。美國國防部推動的CMMC（網路安全成熟度模型認證），要求所有有意承接美方業務的廠商，必須符合特定的資安成熟度標準。這個制度的意義遠超過合規本身 -- -- 它本質上是在重新定義全球國防供應鏈的入場資格，而這個資格是可以被量化、被驗證的。「資安不再是加分項，而是進入國際供應鏈的基本資格，」林俊秀肯定說道。數位產業署自2023年起推動「關鍵產業供應鏈資安成熟度導入推動計畫」，已輔導33家涵蓋航太、半導體、精密製造等領域的業者進行CMMC架構導入。在這樣的架構下，數位產業署選擇以漢翔航空工業作為示範龍頭，推動整體產業升級。漢翔是臺灣航太與國防供應鏈的樞紐企業，第一次由美國國防採購局評核，只拿到60分；緊急改善後，第二次複評竟然超過100分，美方評核人員表示，這個成績比很多美國公司還高。「美國國防採購局自己來臺灣幫我們做案例，自己付錢，」林俊秀說起這段合作時，語氣裡有一種難以掩飾的感謝，「這個臺美友好關係，是真實的。」林俊秀認為，更關鍵的影響，在於後續的擴散效應。漢翔並未止步於自身達標，而是進一步建立平臺，以自身的導入經驗協助旗下供應商完成CMMC Level 1的自評，帶動整條供應鏈同步升級。他認為，透過「產業龍頭帶領供應鏈升級」的策略，讓資安不再只是個別企業的責任，而是整體產業體質的提升工程；而這種階梯式的升級路徑，使臺灣供應鏈在面對國際規範時，不再被動應對，而是逐步建立自主能力。目前，臺灣已有兩家機構正式向美方申請C3PAO（CMMC第三方評估組織）資格，一旦取得，將能在臺灣在地提供CMMC評核服務，讓臺灣從「被評核者」逐漸轉型為「評核者」。從資安要求到競爭優勢的轉化在國際政治與科技競爭交織的背景下，資安正逐漸轉化為產業價值的一部分。數位產業署也同步推動「非紅供應鏈」概念，透過檢測標準與技術規範，確保關鍵設備與系統不受潛在風險影響。例如：在無人機領域，針對核心晶片與通訊系統建立資安檢測機制，使產品在執行任務時具備更高的可信度與安全性。這些措施背後的邏輯，已不再只是防禦，而是將資安轉化為差異化競爭力。林俊秀用三個詞定位臺灣在國際資安舞臺上的形象：受害者、倖存者、主動防禦者。「我每天被好幾百萬次攻擊，久病也會成良醫，」他說，「就跟以色列一樣，大家認為以色列資安很強，這個形象沒有人會質疑。臺灣活下來了，自然應該有一定程度的實力。」去年，他率團出訪荷蘭，在ONE Conference歐洲資安盛會中，臺灣的PQC產品化成果吸引了大量目光；在開幕典禮上，他以第一位演講者的身份登臺，並獲邀出席PKI D-DAY等國際論壇分享成果，成功將「臺灣經驗」輸出至國際資安社群。今年，數位產業署首次率團參與美國RSAC展會，設立「臺灣資安館」，帶領中華資安、全景、杜浦、匯智安全、奧義智慧等八家資安企業聯合參展，正式布局美國市場。在東南亞的開拓上，林俊秀觀察到一個長期被忽略的機會。馬來西亞等國家的國營關鍵基礎設施多由馬來人掌管，過去臺灣業者往往受限於華商圈子，未能切入核心市場。他透過政府帶隊，親自拜訪馬來電信等巨頭，讓對方知道「臺灣可以增加你的選擇」。他同時也積極善用臺灣在國際組織中的會員身分 -- -- 歐洲復興銀行（EBRD）的會員資格，讓臺灣資安廠商有機會進入覆蓋三十多個國家的採購選商名單，中華資安國際已成功進入EBRD的選商名單，在歐洲與非洲都有實際部署案例。林俊秀指出，當國際市場對安全與可信的要求持續提高，能夠符合高標準的產品與供應鏈，將更容易取得訂單與合作機會。他所描繪的資安產業發展藍圖，是讓臺灣從被動遵循規範，轉變為主動利用規範創造價值。不管從後量子密碼的超前部署，到國防供應鏈的結構性升級，臺灣正逐步建立一套以資安為核心的產業發展模式。他認為，這不僅回應當前的安全挑戰，也為未來的科技競爭奠定基礎：當資安從風險管理轉為價值創造，臺灣的產業角色，也正在悄然改寫。邁向千億產值的最後一哩路，資安從防禦成本走向經濟引擎對林俊秀而言，數字不只是績效指標，更是產業轉型的具體證明。臺灣資安產業產值在去年已達九百一十二億元，今年則劍指千億門檻，這不僅象徵規模成長，也代表資安正從過去的防禦成本，逐步轉化為帶動數位經濟的核心動能。支撐這項成長的，是一整套系統性機制：「企業募資計畫」協助資安業者壯大規模；「資安能量登錄機制」結合「資安防禦矩陣（CDM）」整合為「臺灣資安防護矩陣地圖」，協助企業盤點資安缺口並媒合適切產品。資本市場的回應，也為這股趨勢提供了註解。林俊秀表示，中華資安國際在去年9月正式掛牌，成為國內首家上市的資安服務公司；聚焦AI資安領域的奧義智慧，也在今年2月成功在創新板掛牌上市。這兩家公司的上市，向市場傳遞了一個信號：臺灣的資安新創，是有能力得到資本市場肯定的。林俊秀也希望藉由這些成功上市的指標性案例，吸引更多懂得新興科技的創投力量，搭配公私部門合作，促使更多技術創新和產品商業化落地。隨著業者陸續在日本、歐洲設點，臺灣資安產業正逐步從內需導向，走向全球布局。林俊秀直言，通路依然是最難突破的瓶頸。臺灣資訊服務業正處於由「專案型代工」轉向「產品化與平臺化」的關鍵階段，唯有建立自主的產品與平臺，才能真正走上國際。文⊙黃彥棻、攝影⊙洪政偉