【沒穿衣服的台灣】吳怡農沉重痛批:從總統府到氣象局,政府機密早被看光光

【我們為什麼挑選這篇文章】

台灣數位系統管理問題不斷出現, 中國駭客在 520 總統就職典禮前夕攻擊中油、台塑、力成科技、台大醫院 等單位,一再暴露台灣資安風險,以及政府在資安戰防禦上的孱弱不振。面對中國有意識的資安侵略,台灣像沒穿衣服一樣的透明無防護力。

曾經任職國安會、代表民進黨參選立委的吳怡農昨日(5 月 17 日)罕見在臉書上發長文批評執政問題,指出台灣總統府被駭客入侵,反映國家資安問題重重,台灣機密早就被看光光了。若不從系統面徹底痛定思痛提升,台灣可能不需要熱戰就讓中共取得先機。(責任編輯:連柏翰)

台灣總統府日前被駭,吳怡農在臉書發文認為資安就是國安。
台灣總統府日前被駭,吳怡農在臉書發文認為資安就是國安。圖片經編輯合成,左圖片來源:WatchoutTW/右圖片來源 Wallpaperflare

根據媒體這週末的報導,總統府內電腦或系統遭駭。目前外界有種種假設──也許是資訊混淆和政治操作;或許涉及內部人員、或許是境外干預;無論如何,在調查尚未明朗前,我們不在此時作任何揣測。

此事件目前看來波及程度限於政治與形象上的傷害。但如果確實涉及總統府電腦或系統的侵駭,對中央政府機關最深切的警惕,是這個行為路徑不但可被執行,而且透過駭客刻意公開,政府才得知、而不得不公開回應。

政府網路系統安全,作為國家關鍵基礎設施的一環,是我在國安會研究的問題之一 :那期間,我參與跨部門會議、調閱歷年紀錄、也訪問第一線政府人員及業者。

究竟有多少對國家至關重要、更機密的資訊,沒有妥善保護、已遭洩漏,只是尚未公開?我不得不沈重地說:很多。

台灣從高級機構總統府到三級單位氣象局,資訊網絡極為脆弱

總統或行政院長若下令檢視 2016 年至今所有涉及政府系統的資安事件,就會發現一個清楚的脈絡: 從最高機構總統府到三級單位如氣象局,政府的資訊網絡極為脆弱,並長期遭受境外勢力大規模、系統性的侵入,包括全民健保資料庫、公文系統 等等,近期更透過委外廠商取得系統權限。這些重要的資訊都是全民資產,也是政府的責任。

過去四年,當政府不斷地倡導「資安即國安」,這些攻擊未被有效阻絕, 幾乎所有核心政府單位的資訊系統都曾被成功滲透 ;加上各機關之間都有連線,已造成的損害難以估量;然而每每發生資安事件,受害的單位往往各自尋求委外廠商個別處理,將電腦或伺服器「清理乾淨」,就結案了事;此類事件也大多在國安單位還未參與調查前,就被歸類為「非國安事件」、「非涉及核心業務」處理,並未進一步檢視系統性的威脅,甚至提出防患於未然的措施。

馬政府時期的國安會,曾經試圖面對這個問題,檢討政府資訊系統的安全設計和管理。但接連開了幾次會議之後,反倒變成「向外」檢討,例如:嚴管民間(金融、水電、交通等領域業者)的資通訊安全。過去幾年,蔡政府也延續此政策方向:行政院推動「資安管理法」,國安會研擬「國家資通安全戰略報告」,但 始終沒有把重點放在政府「內部」的問題 。也就是說,存放國家最機敏資料的機制,沒有被當成核心問題來面對。

所以,政務官不信任政府系統(姑且不談「不信任體制內公務員」,或許改天來討論的嚴重問題), 高層的機敏訊息很多盡量不透過官方系統,甚至用個人電腦,導致現在,每個人的個人裝置(手機、筆記型電腦)都可能是破口 ;而且遭駭時,因為不受專責人員管控,根本難以查覺。

法弊於積習,人樂於因循;還有多少資安未爆彈待拆?

要確保「資訊安全」,必須顧到人員(personnel)、系統(network / ICT)、實體與環境(physical)的安全。在各個面向,我們都看到很多長期以來所累積的結構性問題:

  1. 政府內部沒有專責單位及人員負責系統安全 :公務體系沒有相關的「職系」來培養專業人力;若系統出事,主要由委外的民間廠商協助「清毒」善後,或必要時行政院技術服務中心協助,但無論如何盡可能避免國安人員的涉入;各機關由非專業的副首長兼任資安官,缺乏專業背景,也難以形成專業而客觀的文官體系。
  2. 政府未對使用者建立安全規範並實施安全教育 :長期以來,長官只要層級夠高,便可以使用個人電腦工作及存放公務資料,形成「愈機敏的資料、管理卻可能愈不嚴謹」的奇怪現象;我們常提到的使用者「人員安全權限制度」也從未落實。
  3. 政府機關之間沒有「跨部會內網」:機關各行其事,又缺乏安全的橫向溝通管道;在「內網」撰寫的資料,卻需要透過「外網」來傳遞給其他部會; 彼此通訊仰賴 Line、Telegram 或 Signal,徒增資料外流的風險(而且無法追蹤、事後分析或利用)。

危機就是轉機,這次事件是勇敢面對、徹底檢討、改善政府資安、落實「資安即國安」的機會。

推薦閱讀

吳怡農發起「#全民下架吳斯懷」行動,前職業軍人有感:中共飛彈、戰機正威脅我們,台灣人卻還要親中?

【中共攻打台灣不用靠飛彈】健保卡密碼之亂+中國駭客攻擊,台灣資安戰內亂加外患

【倒數 8 個月換新證件,台灣真準備好了嗎】政府一年被網攻 3.6 億次!學者憂數位身分證成「資安破口」

(本文經原作者吳怡農授權轉載,並同意 BuzzOrange 編寫導讀與修訂標題,原文 連結  。首圖來源:Wallpaperflare。)


想看到每天《報橘》精選好文?趕快把我們加入你的 Telegram 好友


   

點關鍵字看更多相關文章: