※ [本文转录自 Gossiping 看板 #1UsV7oVU ]
作者: Macmini2 (迷你2) 看板: Gossiping
标题: [新闻] 很多机密资讯早已泄漏,只是未公开!
时间: Fri Jun 5 15:19:12 2020
https://www.cw.com.tw/article/article.action?id=5100498
总统府为何被骇?专访吴怡农:各部会资安,竟是查贪腐的人兼管
Web Only?
文?
林佳谊
?2020-06-01
一封“鲁蛇”的骇客邮件,让蔡英文立刻将资安列为台湾6大核心战略产业之一,这能补
破网吗?曾任职国安会的吴怡农接受《天下》专访,再抛出打造“小内网”概念。
“如果不谈或不面对问题,不承认有问题,我们不可能改善,”一身惯穿的轻便粉红衬衫
与球鞋,与前民进党立委参选人、现在是国防安全议题倡议组织“壮阔台湾联盟”发起人
吴怡农脸上的严肃神情,形成强烈反差。
会这么严肃,是因为一封署名为tsailoser(蔡鲁蛇)的邮件,在520前夕攻破了总统府,
戳破总统蔡英文口中喊了4年的“资安即国安”政策。让资安成了国家机密安全维护中最
脆弱的一环。
很多机密资讯已遭泄漏,只是未公开
事发后,吴怡农第一时间在脸书发出长文,成为绿营第一只黑乌鸦。曾任职国安会的他,
直指政府资讯网“极为脆弱”,“很多对国家至关重要、更机密的资讯已遭泄漏,只是尚
未公开。”
身为备受栽培的政治明星,吴怡农为什么要当绿营的黑乌鸦?过去在国安会任职期间,他
究竟看到了什么?
他接受《天下》专访,说明他跳出来的原因:
“政府机构体系这么大,但是它的架构并没有反应现在世界的运作方式,”吴怡农说,“
很多原因导致今天的问题,而要改善、克服这么多困难的第一个前提,就是起码大家要同
意有问题。”
事实上,蔡英文早在首任总统任期之初,制定国家资安政策方针时,就曾经高举“资安即
国安”政策。过去4年,政府也确实推出多项令人眼花撩乱的资安“新政”,包含第一个
行政院资安专责机构“资通安全处”、第一部资安专法三读通过、第一任国家资安长(现
由行政院副院长陈其迈兼任)等等,声势不可谓不浩大。
但曾经在总统府国安会任职,吴怡农却看见许多漏洞。
漏洞1》缺统合,各部会自架内网
吴怡农发现,政府徒设众多资安单位,却缺乏整合,人事架构完全无法应对现实世界的国
防资安威胁,还形成“政风管资安”的荒谬设计。
他摊开政府的体系,从主管GSN(政府网际服务网)骨干的国发会,负责资安政策制定、
工作执行与产业发展的行政院资安处,负责情报蒐集的国安局,到最近成立的调查局资安
工作站、针对网络犯罪成立的内政部侦九大队,看似织起细密网络。
但实际上,叠床架屋的设计,却留下国安大漏洞。这是因为,国发会只管GSN骨干,却管
不了各部会如何在骨干上自行架构内网;资安处含辖下技服中心,人力仅约1、200人,难
以掌握部会如何落实资安。国安局、调查局、刑事警察局,平常只能在各机关内部活动,
只能在出事时介入调查。
那么,“平常是谁在每天保护系统的安全?感觉是各机关的资讯人员,但其实在政府体系
里负责机关安全维护的理论上却是政风,”吴怡农指出,根据现行的政府组织章程,机关
安全维护责任归属仍是廉政署的政风人员,政院机关内部没有其他单位负责这一块。
坐在政府机关内部的政风人员,名义上负责“机密维护”,有权在内部监督,实际上却无
资安专才,主要工作都在肃贪。实际上各机关平时多由资讯科处编列少部分人员来勉强维
系最低限度资安,真正出事了,只能由机关外的检调国安单位来亡羊补牢。
漏洞2》缺人力,外包出事就“大事化小”
如果检调国安体系真能及时掌握状况,或许还不是最糟。但真相是,连这一点也有困难。
由于各机关单位里头真正专责资安的人员比例少之又少,依法规定政府资安人力需求估计
约为1千多人,实际上仍有约500人缺口待补。人力不足下,仰赖外包已成为公开秘密。每
次出事,外包厂商只对部会报告,而部会心态则是大事化小、小事化无,不想动辄上报至
国安层级,经常指示厂商尽速解决,让系统恢复正常就好。
结果就是,久而久之,国安系统长期状况外,缺乏系统性的完整资讯,难以掌握全局。
“大家只是从各自部会思考防堵,可是别人是对你整个政府在攻击,”吴怡农说,“许多
原本看似孤立的资安事件,如果进一步整合起来,其实可以看到很多不断发生的模式与途
径,告诉我们这是一个系统性、策略性、针对性的攻击,那么我们的防范措施就会不一样
,不会把单一事件当作只是某台电脑中毒这么简单。”
砍掉重练!从全新、干净的小内网做起
资安“新政”众多擘划,或许本是立意良善,但见树不见林,在先天不良的基础上又叠床
架屋。多头马车下,政府国防资安工作反而被层层打散、外包、琐碎化,缺乏全局思维且
反应迟缓,面对不断变换策略寻找系统弱点的境外攻击,就像一只笨重的大象被蚂蚁扳倒
。怎么解?
立委选后选择不进入体制内,吴怡农抛出两大概念,其一,是政府有必要破釜沉舟重新打
造资讯系统,首先从“小内网”做起。其二,是在这个新的资讯网络之外,还要搭配有效
落实的安全权限管理机制。
“我们的解决方案必须是可执行的,现实是政府不可能成立一个5千人的资安部,但我们
可以有一个集中化的资讯系统,来做有效的管理,”吴怡农说。
他认为,现在GSN由国发会主管,但骨干上各部会机关内网并不统一,彼此又缺乏安全的
横向沟通管道,资安破口多不胜数。长时间下来,整个政府体系资讯网络中早不知暗藏多
少的入侵程式、后门与病毒。“现在有谁在我们的网络里面,我们是不知道的,”想彻底
解决问题,必须重新打造一个系统。
“这是大工程,怎么办?”吴怡农指出,美国国防部就有一个内网,由国防部架设,但通
用在所有可以接触国家机密的部会机关。台湾也可以从最核心的系统开始,先打造一个全
新、干净的小内网,优先将涉及国家安全的机密,统一在这个小内网中保护处理。
无论内网隶属哪个部会,重点是必须有一个专责单位来规划设计与负责。所有牵涉到国安
机密的通讯与数据,都必须留在这个内网,“想像不管是在国防部、外交部、国安局,还
是总统府,都有这样一台电脑连接内网,包含你的Word、简报、Excel分析,你写的备忘
录,都只能在这个内网上产制与转发。”
关键在使用权限,不是官愈大就可接触愈多机密
不过,“内网只是硬件,背后还要有一个制度,”吴怡农强调,内网的另一环,是使用者
的权限问题。权限就是,决定谁可以接触国家机密?谁保护资讯,资讯存放在哪里?
谁可以存取这个资讯?“这背后必须有个机制是赋予安全权限,而且必须各部门一体适用
,不然各机关各行其是,就没有用了,”他强调。
在国安会时,他负责的专案之一就是安全权限检讨。结果赫然发现,台湾公部门人员的安
全查核表格,不仅查核内容薄弱,落实程度也极为低落。“台湾现在,老实说是0,”他
坦言。
每个民主国家都有人员权限管理制度,什么位阶、什么职权,可以接触什么机密,都有一
套原则来管理,不是单纯官愈大就可以接触愈多机密,反而导致“愈机密的资料,管理却
可能愈不严谨”的现象。
回到总统府遇骇,吴怡农强调,“这件事真正严重的地方是,这告诉我们,如果这个(府
内文件)都拿得到,说明现在资讯系统的管理方式是有问题的,”除了事件调查,更重要
的是要有通盘检讨整体国防资安政策的决心。
过去在媒体采访中曾说过最喜欢粉红色的鲜艳,吴怡农此番大胆直言,不是想做绿营黑乌
鸦,而是能够唤起人们注意的“粉红色”乌鸦。(责任编辑:王俪华)