1.转录标题︰
若为 他板文章可免填 请写名称
1.转录网址︰
※超过一行请缩址,若为 他板文章可免填※https://m.facebook.com/story.php?stor
y_fbid=3432545636761564&id=100000184845613
2.转录来源︰
※超过一行请缩址,若为 他板文章可免填※陈为廷
3.转录内容︰
※请完整转载原文 请勿修改内文与编排※
【资安即国安?解决问题必须见树又见林】
根据媒体这周末的报导,总统府内电脑或系统遭骇。目前外界有种种假设──也许是资讯
混淆和政治操作;或许涉及内部人员、或许是境外干预;无论如何,在调查尚未明朗前,
我们不在此时作任何揣测。
此事件目前看来波及程度限于政治与形象上的伤害。但如果确实涉及总统府电脑或系统的
侵骇,对中央政府机关最深切的警惕,是这个行为路径不但可被执行,而且透过骇客刻意
公开,政府才得知、而不得不公开回应。
政府网络系统安全,作为国家关键基础设施的一环,是我在国安会研究的问题之一:那期
间,我参与跨部门会议、调阅历年纪录、也访问第一线政府人员及业者。
究竟有多少对国家至关重要、更机密的资讯,没有妥善保护、已遭泄漏,只是尚未公开?
我不得不沈重地说:很多。
总统或行政院长若下令检视2016年至今所有涉及政府系统的资安事件,就会发现一个清楚
的脉络:从最高机构总统府到三级单位如气象局,政府的资讯网络极为脆弱,并长期遭受
境外势力大规模、系统性的侵入,包括全民健保数据库、公文系统等等,近期更透过委外
厂商取得系统权限。这些重要的资讯都是全民资产,也是政府的责任。
过去四年,当政府不断地倡导“资安即国安”,这些攻击未被有效阻绝,几乎所有核心政
府单位的资讯系统都曾被成功渗透;加上各机关之间都有连线,已造成的损害难以估量;
然而每每发生资安事件,受害的单位往往各自寻求委外厂商个别处理,将电脑或服务器“
清理干净”,就结案了事;此类事件也大多在国安单位还未参与调查前,就被归类为“非
国安事件”、“非涉及核心业务”处理,并未进一步检视系统性的威胁,甚至提出防患于
未然的措施。
马政府时期的国安会,曾经试图面对这个问题,检讨政府资讯系统的安全设计和管理。但
接连开了几次会议之后,反倒变成“向外”检讨,例如:严管民间(金融、水电、交通等
领域业者)的资通讯安全。过去几年,蔡政府也延续此政策方向:行政院推动“资安管理
法”,国安会研拟“国家资通安全战略报告”,但始终没有把重点放在政府“内部”的问
题。也就是说,存放国家最机敏资料的机制,没有被当成核心问题来面对。
所以,政务官不信任政府系统(姑且不谈“不信任体制内公务员”,或许改天来讨论的严
重问题),高层的机敏讯息很多尽量不透过官方系统,甚至用个人电脑,导致现在,每个
人的个人装置(手机、笔记型电脑)都可能是破口;而且遭骇时,因为不受专责人员管控
,根本难以查觉。
【法弊于积习,人乐于因循;还有多少资安未爆弹待拆?】
要确保“资讯安全”,必须顾到人员 (personnel)、系统 (network / ICT) 、实体与环
境 (physical) 的安全。在各个面向,我们都看到很多长期以来所累积的结构性问题:
1 政府内部没有专责单位及人员负责系统安全:公务体系没有相关的“职系”来培
养专业人力;若系统出事,主要由委外的民间厂商协助“清毒”善后,或必要时行政院技
术服务中心协助,但无论如何尽可能避免国安人员的涉入;各机关由非专业的副首长兼任
资安官,缺乏专业背景,也难以形成专业而客观的文官体系。
2 政府未对使用者建立安全规范并实施安全教育:长期以来,长官只要层级够高,
便可以使用个人电脑工作及存放公务资料,形成“愈机敏的资料、管理却可能愈不严谨”
的奇怪现象;我们常提到的使用者“人员安全权限制度”也从未落实。
3 政府机关之间没有“跨部会内网”:机关各行其事,又缺乏安全的横向沟通管道
;在“内网”撰写的资料,却需要透过“外网”来传递给其他部会;彼此通讯仰赖 Line
、Telegram 或 Signal,徒增资料外流的风险(而且无法追踪、事后分析或利用)。
危机就是转机,这次事件是勇敢面对、彻底检讨、改善政府资安、落实“资安即国安”的
机会。
4.附注、心得、想法︰
陈为廷分享吴怡农脸书
希望现在政府面对资安的危机时
能彻底检讨
努力改进 勇敢面对
才能落实 资安即国安