这篇文章一半对一半错,很明显是外行人说内行话,我建议吴怡农若未来要朝政治领域发
展,应该要去跟相关领域的专业人员确认复查内容,免得让行内人笑掉大牙,也避免误导
社会大众造成错误的观念,这篇我建议英粉可以去检举造谣的网址告发他,无端指责造成
社会大众的恐慌,吴怡农值得被罚300万,连带散播不实言论的陈为廷也应该要罚300万
※ 引述《zoosleep (王者)》之铭言:
: 1.转录标题︰
: 若为 他板文章可免填 请写名称
: 1.转录网址︰
: ※超过一行请缩址,若为 他板文章可免填※https://m.facebook.com/story.php?st
or
: y_fbid=3432545636761564&id=100000184845613
: 2.转录来源︰
: ※超过一行请缩址,若为 他板文章可免填※陈为廷
: 3.转录内容︰
: ※请完整转载原文 请勿修改内文与编排※
: 【资安即国安?解决问题必须见树又见林】
:
: 根据媒体这周末的报导,总统府内电脑或系统遭骇。目前外界有种种假设──也许是资
讯
: 混淆和政治操作;或许涉及内部人员、或许是境外干预;无论如何,在调查尚未明朗前
,
: 我们不在此时作任何揣测。
:
: 此事件目前看来波及程度限于政治与形象上的伤害。但如果确实涉及总统府电脑或系统
的
: 侵骇,对中央政府机关最深切的警惕,是这个行为路径不但可被执行,而且透过骇客刻
意
: 公开,政府才得知、而不得不公开回应。
:
: 政府网络系统安全,作为国家关键基础设施的一环,是我在国安会研究的问题之一:那
期
: 间,我参与跨部门会议、调阅历年纪录、也访问第一线政府人员及业者。
:
: 究竟有多少对国家至关重要、更机密的资讯,没有妥善保护、已遭泄漏,只是尚未公开
?
: 我不得不沈重地说:很多。
:
: 总统或行政院长若下令检视2016年至今所有涉及政府系统的资安事件,就会发现一个清
楚
: 的脉络:从最高机构总统府到三级单位如气象局,政府的资讯网络极为脆弱,并长期遭
受
: 境外势力大规模、系统性的侵入,包括全民健保数据库、公文系统等等,近期更透过委
外
: 厂商取得系统权限。这些重要的资讯都是全民资产,也是政府的责任。
:
: 过去四年,当政府不断地倡导“资安即国安”,这些攻击未被有效阻绝,几乎所有核心
政
: 府单位的资讯系统都曾被成功渗透;
请举出数据证明,否则你是无端造谣
: 然而每每发生资安事件,受害的单位往往各自寻求委外厂商个别处理,将电脑或服务器
“
: 清理干净”,就结案了事;此类事件也大多在国安单位还未参与调查前,就被归类为“
非
: 国安事件”、“非涉及核心业务”处理,并未进一步检视系统性的威胁,甚至提出防患
于
: 未然的措施。
就我接触到的各个公部门资讯主管,并非如吴怡农所说的乡愿跟颟顸。
我时常在各大资安研讨会上,看到各个公部门主管分享资安事件处理与改善措施,
并提供公部门在资安上的需求给资安厂商作为产品开发的参考,
也借由分享公部门的处理经验来帮助一般企业建构更完善的资讯管理制度,
虽非全部,但金管会、国税局、资通处、法务部都有积极参与资安管理系统的建立
与经验分享,例如去年iThome举办的CFS,就有法务部跟国税局资讯主管站上讲台,
分享资安管理与数位鉴识,吴怡农的说法把公部门所有资讯单位的努力重重打了
一巴掌,不但无知而且自以为是!应该要罚300万
https://cybersec101.ithome.com.tw/
:
: 马政府时期的国安会,曾经试图面对这个问题,检讨政府资讯系统的安全设计和管理。
但
: 接连开了几次会议之后,反倒变成“向外”检讨,例如:严管民间(金融、水电、交通
等
: 领域业者)的资通讯安全。过去几年,蔡政府也延续此政策方向:行政院推动“资安管
理
: 法”,国安会研拟“国家资通安全战略报告”,但始终没有把重点放在政府“内部”的
问
: 题。也就是说,存放国家最机敏资料的机制,没有被当成核心问题来面对。
这段是让我最火的,过去因为工作关系,我跟专责公部门的资安管理的单位有接触,
该单位有6张CISSP证照贴在一楼,在我服务期间,他们推了资通安全法,还建立了公
部门一体适用的资安事件处理流程,该流程在iThome也有报导,
也是私人企业参考的范本。
吴怡农的说词很明显完全状况外,连公部门早已运行多时的资安事件处理流程都不知道,
散播不实言论,值得被罚300万
https://www.ithome.com.tw/news/133776
:
: 所以,政务官不信任政府系统(姑且不谈“不信任体制内公务员”,或许改天来讨论的
严
: 重问题),高层的机敏讯息很多尽量不透过官方系统,甚至用个人电脑,导致现在,每
个
: 人的个人装置(手机、笔记型电脑)都可能是破口;而且遭骇时,因为不受专责人员管
控
: ,根本难以查觉。
:
: 【法弊于积习,人乐于因循;还有多少资安未爆弹待拆?】
:
: 要确保“资讯安全”,必须顾到人员 (personnel)、系统 (network / ICT) 、实体与
环
: 境 (physical) 的安全。在各个面向,我们都看到很多长期以来所累积的结构性问题:
:
: 1 政府内部没有专责单位及人员负责系统安全:公务体系没有相关的“职系”来
培
: 养专业人力;若系统出事,主要由委外的民间厂商协助“清毒”善后,或必要时行政院
技
: 术服务中心协助,但无论如何尽可能避免国安人员的涉入;各机关由非专业的副首长兼
任
: 资安官,缺乏专业背景,也难以形成专业而客观的文官体系。
一半对一半错,像我这两天就说总统府的资安事件最高负责人是陈其迈,
他就是明显的不管事门外汉主管,,而实际执掌国内公部门资安业务的最高负责人,
则是辖下的资通安全处长,且该单位非仅协助的角色。
https://cyber.ithome.com.tw/2017/speaker-paging/1707.html
公部门资安规范与区域联防机制建立说明
https://youtu.be/rcmQjupwOao
还有别随便把资安单位挂嘴边,这不是路边小吃摊,你写出来前有经过单位主管同意吗?
:
: 2 政府未对使用者建立安全规范并实施安全教育:长期以来,长官只要层级够高
,
: 便可以使用个人电脑工作及存放公务资料,形成“愈机敏的资料、管理却可能愈不严谨
”
: 的奇怪现象;我们常提到的使用者“人员安全权限制度”也从未落实。
又是乱扯一通
: 3 政府机关之间没有“跨部会内网”:机关各行其事,又缺乏安全的横向沟通管
道
: ;在“内网”撰写的资料,却需要透过“外网”来传递给其他部会;彼此通讯仰赖 Lin
e
: 、Telegram 或 Signal,徒增资料外流的风险(而且无法追踪、事后分析或利用)。
:
: 危机就是转机,这次事件是勇敢面对、彻底检讨、改善政府资安、落实“资安即国安”
的
: 机会。
资安最大的问题,就是像吴怡农这种天兵,不懂装懂口不择言,
破坏公部门资讯单位长久努力累积下来的威信,
散布错误的资讯造成恐慌与社会大众的不信任,
我只问你一句话,去年的资安大会你去了没?
https://www.ithome.com.tw/news/128789
: 4.附注、心得、想法︰
: 陈为廷分享吴怡农脸书
: 希望现在政府面对资安的危机时
: 能彻底检讨
: 努力改进 勇敢面对
: 才能落实 资安即国安