楼主:
F16V (Manners maketh man.)
2020-05-18 00:31:06曾任职国安会 吴怡农:很多机密已遭泄露只是尚未公开
2020-05-17 09:32 联合报 / 记者丘采薇/台北即时报导
总统府官员电脑遭骇客入侵,骇客散发多起资料震撼政坛。曾经任职国安会、代表民进党
参选立委的吴怡农在脸书贴文表示,政府网络系统安全,作为国家关键基础设施的一环,
是他在国安会研究的问题之一,他当时参与跨部门会议、调阅历年纪录、也访问第一线政
府人员及业者。他坦言,有很多对国家至关重要、更机密的资讯,没有妥善保护、已遭泄
漏,只是尚未公开。
吴怡农提到,总统府内电脑或系统遭骇。目前外界有种种假设,也许是资讯混淆和政治操
作;或许涉及内部人员、或许是境外干预;无论如何,在调查尚未明朗前,他不在此时作
任何揣测。
吴怡农说,此事件目前看来波及程度限于政治与形象上的伤害。但如果确实涉及总统府电
脑或系统的侵骇,对中央政府机关最深切的警惕,是这个行为路径不但可被执行,而且透
过骇客刻意公开,政府才得知、而不得不公开回应。
吴怡农根据自己在国安会任职的经验指出,总统或行政院长若下令检视2016年至今所有涉
及政府系统的资安事件,就会发现一个清楚的脉络,“从最高机构总统府到三级单位如气
象局,政府的资讯网络极为脆弱,并长期遭受境外势力大规模、系统性的侵入,包括全民
健保数据库、公文系统等等,近期更透过委外厂商取得系统权限。这些重要的资讯都是全
民资产,也是政府的责任。”
吴怡农说,过去四年,当政府不断地倡导“资安即国安”,这些攻击未被有效阻绝,几乎
所有核心政府单位的资讯系统都曾被成功渗透;加上各机关之间都有连线,已造成的损害
难以估量;然而每每发生资安事件,受害的单位往往各自寻求委外厂商个别处理,将电脑
或服务器“清理干净”,就结案了事;此类事件也大多在国安单位还未参与调查前,就被
归类为“非国安事件”、“非涉及核心业务”处理,并未进一步检视系统性的威胁,甚至
提出防患于未然的措施。
吴怡农表示,马政府时期的国安会,曾经试图面对这个问题,检讨政府资讯系统的安全设
计和管理。但接连开了几次会议之后,反倒变成“向外”检讨,例如:严管民间(金融、
水电、交通等领域业者)的资通讯安全。过去几年,蔡政府也延续此政策方向:行政院推
动“资安管理法”,国安会研拟“国家资通安全战略报告”,但始终没有把重点放在政府
“内部”的问题。也就是说,存放国家最机敏资料的机制,没有被当成核心问题来面对。
吴怡农说,所以,政务官不信任政府系统,高层的机敏讯息很多尽量不透过官方系统,甚
至用个人电脑,导致现在,每个人的个人装置(手机、笔记型电脑)都可能是破口;而且
遭骇时,因为不受专责人员管控,根本难以查觉。
吴怡农也提出三个问题供政府参考,第一,政府内部没有专责单位及人员负责系统安全:
公务体系没有相关的“职系”来培养专业人力;若系统出事,主要由委外的民间厂商协助
“清毒”善后,或必要时行政院技术服务中心协助,但无论如何尽可能避免国安人员的涉
入;各机关由非专业的副首长兼任资安官,缺乏专业背景,也难以形成专业而客观的文官
体系。
第二,吴怡农认为,政府未对使用者建立安全规范并实施安全教育:长期以来,长官只要
层级够高,便可以使用个人电脑工作及存放公务资料,形成“愈机敏的资料、管理却可能
愈不严谨”的奇怪现象;我们常提到的使用者“人员安全权限制度”也从未落实。
第三,吴怡农指出,政府机关之间没有“跨部会内网”:机关各行其事,又缺乏安全的横
向沟通管道;在“内网”撰写的资料,却需要透过“外网”来传递给其他部会;彼此通讯
仰赖 Line、Telegram 或 Signal,徒增资料外流的风险(而且无法追踪、事后分析或利
用)。危机就是转机,这次事件是勇敢面对、彻底检讨、改善政府资安、落实“资安即国
安”的机会。
https://reurl.cc/ZONLmg