【最新!蘇揆下令全面暫緩換發 eID】優化資安文化,請看第一線資安人員怎麼說

(本文經原作者 陳浩維NEX Foundation 授權轉載,並同意 BuzzOrange 編寫導讀與修訂標題,原文標題為 〈改變台灣的資安文化,從數位身分證開始 ── 一位資安從業人員的公開信 〉。首圖來源:NEX Media Lab,未經授權,請勿轉載。)

【為什麼我們挑選這篇文章】

從行政院數位政委唐鳳親上火線直播,與民眾溝通數位身分證(eID)「比現在好,安全方面」,到內政部祭出重賞,廣邀駭客攻破政府的資安漏洞。政府不斷想要證明 eID 好用、安全,鼓勵民眾快點去申辦,輿論卻始終惶惶不安。

本來,新竹市會是第一個率先在今年「試水溫」的縣市,但市長林智堅也在最後關頭,試辦前 5 天緊急喊卡,表態「市府一定是站在民眾都沒有疑慮的前提」,才會上路。

昨日(11 日)晚間,行政院長 蘇貞昌 終於同意 eID 換發政策全國「暫緩」。eID 要上路,不只是需做好政策溝通而已,技術與立法把關如何按部就班地完成,才是全民最關切的事。請看看資安從業人員,台灣駭客協會理事陳浩維怎麼說。(責任編輯:白宜君)

圖片來源:NEX Media Lab

文/陳浩維(台灣駭客協會理事)

關於數位身分證(eID)的相關資安作為,國內外資安從業人員皆高度關注與關切。從一位資安技術者的角度,僅以此公開信表達個人的看法,惟與本人所屬公司無關。

一、政府應回歸資安的專業基礎,以完善的資安策略及實務規劃,回應資安疑慮

內政部近期公開之「New eID 系統相關安全性做法」,僅以三頁簡短的內容,描述其未來的資安規劃。若以業界標準檢視其內容與方向,除欠缺整體性規劃,也顯現主事單位對於敏感個資的重大系統,缺乏周詳且謹慎的資安策略。

以策略面僅有的兩項規劃為例,一為稽核安全標準規範,二為推動賞金獵人的黑箱測試, 兩項皆不符合資安策略的訂定高度,至多可為「確保軟體安全」的子項目。 此外,縱覽現有政府公開文件,皆未提及軟體設計安全規範、風險偵測與管理辦法、資料安全及隱私保護機制、資安攻防運作機制等根本性的資安規劃,也不見 eID 系統在隱私工程上的設計規範(如: Privacy By Design)。內政部在強調「有技術把握 」的同時,應對外發表以上技術根據,透過客觀數據和技術內容回應外界疑慮。

再者,從「數位身分識別證賞金獵人活動計畫草案」中提到「為解除民眾的資安疑慮… 進行源碼檢測、第三方滲透測試及弱點掃描並進行修補」。

就個人過去的觀察,國內公私部門偏好「優先外界觀感,資安規範先放一邊」或者「用公關稿解決資安問題」等方式面對外界疑慮。 然而,與其以大眾觀感為制定資安策略的要素,政府更應該以軟體安全檢測之技術要求為執行準則。

資料與系統安全的確保,是建立使用者信任的基礎,掛鉤輿論或不負責任地「偽資安」文化需要被改變,否則隨著時間推移,除不利台灣資安產業和人才的發展外,終將有利攻擊者發掘和惡用技術性弱點,進而帶來更深層的負面影響。

回到 eID 的資安議題, 資安專家及學者們的疑慮,並非在短期「漏洞的數量」,而是於更長遠的資安風險。

資安的建設需要持續且長期性的投入,才得以不間斷地增加攻擊者的攻擊成本。政府應回歸到資安的專業基礎上,採取嚴謹、高標準且經得起時間考驗的資安策略和作為,將國家安全及國民資料安全擺在首位。在必要時,願意妥協時程壓力、投入資源,以技術解決資安疑慮,才能更貼近社會大眾對於 eID 安全性的期望。同理, 內政部應將資源運用在資安防護上的實際作為,單依賴「與民眾溝通」將無助化解資安疑慮的根本因素。

二、賞金獵人(BBP)的價值來自長期的營運,短期成效將有限,且不該是用以解除民眾疑慮的解決方案

(一)以業界實務典範(Best Practice)而言,產品在導入賞金獵人(BBP)計畫之前,需要歷經全面且具深度的資安檢測流程 。 以一般美國科技企業的實務應用為例,至少需經過 Code Review、Architecture Review、Threat Modeling Review、Static Analysis、Dynamic Analysis、Penetration Testing、Red Teaming 等步驟,來確保產品安全達到一定的安全成熟級別(Security Maturity Level)。

即使是不涉及敏感資訊的服務型應用程式,美國科技企業的資安團隊在產品正式上線前,往往需要投入半年至一年以上的時間,來符合和完成基本資安規範的步驟,更不論涉及大量敏感個人資訊(PII)的系統。主事單位在執行 BBP 計畫前是否確實完成了以上 縱深防禦(Defense-in-depth) 的流程?

(二)一般邀請制的 BBP 計畫當中,會對受邀對象進行背景的審核(Background Check),及排除受制裁國家或具有風險的國籍人員。而 eID BBP 計畫草案並無相關要求、管控和審核機制。針對 eID BBP 計畫的運作,主事單位是否有進行以惡意攻擊者為角度的風險評估?假設有受敵國政府資助的資安研究人員參與第一階段 BBP 計畫,該營運團隊將如何偵測和處置?

(三)eID BBP 計畫的第一階段僅供資安研究人員不到一個月的測試期。

然而,當測試範疇涵蓋硬體、前後端應用程式、API 等項目,將需投入大量時間進行研究,才得以展現 BBP 計畫的效果。參考美國企業的作法,跨平台的範疇通常會被切成數個 BBP 子計畫,例如:因為硬體安全的測試難度較高,硬體相關範疇會獨立進行兩到三個月的 BBP,其它部分則個別進行一至三個月的子計畫,待全部漏洞被修復後,才整合成一個完整範疇(Scope)的 BBP 。

eID BBP 計畫要求資安研究人員在不到一個月的時間內完成整體範疇的測試,此舉除欠缺謹慎的規劃外,恐將難以達到此計畫的執行目的。

另外,一般邀請制的 BBP 計畫活躍度往往在 2 至 3 成,亦即研究人員被邀請後,只有部分參與者實際進行研究或提交漏洞。若以草稿內訂定之資格條件而言,全台灣(不含海外資安人才)符合資格的人數可能在 50 人以下,假設第一階段有 30 位資安研究人員報名,25 位在研究 3 天後放棄,最後只有 5 位成功提交漏洞,此勢必挑戰計劃的有效性。

另外,延續上述之時間限制,假設這 5 位研究人員都因為時間不足,而只專注在難度較低的「申辦區網站」漏洞,略過其它範疇的測試。在這樣的情況下,主事單位是否可以認定:「駭客沒有找到晶片漏洞,只有 5 個網站漏洞,所以 eID 是安全的」?從資安專業角度,此舉顯得以偏概全。

(四)綜觀美國數百個 BBP 計畫皆為長期性的 Continuous Programs,主要原因包含:

(1)應用程式的程式碼在不斷被更新的同時,也將增加新安全漏洞的產生;

(2)新的攻擊手法和未知的系統風險會持續出現;

(3)要研究出影響範圍廣與深的安全漏洞需要投入大量的時間。

個人建議主事單位對於 eID 的資安檢測進行長遠的規劃和切實的執行,並打造具韌性的系統安全及資料保護的機制,才是治標治本的解方。更期待政府能將 eID 系統視為公部門資安規範轉型的契機,建立新標竿,民眾自然會對 eID 產生信任和信心。

三、政府應在培育資安人才的同時,設立專責國家資安長主導和監督資安業務

資訊安全為日新月異的高技術領域,在國際上不斷升溫的網路衝突(Cyberconflict)和網路戰(Cyberwar)等情勢下,政府應設立專責的國家資安長,類似於美國的聯邦資安長角色,透過其專業能力及總統的授權,進行國家資安策略的策定、主導國家級兼跨部會的資安規劃、提升網路空間的防禦與攻擊能量、督導各部會首長資安業務的決策和執行,透過「具有資安專業背景的專責資安長」取代現行「形式上的兼任資安長」,以落實「資安等於國安」的國家關鍵戰略。

根據現階段《資通安全管理法》第二章規定「公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務」。以 eID 主管機關內政部而言,其次長兼任資安長,惟內政部政務次長在近日 回應立法院內政委員會的 eID 議題 時表示「現外界很多說法,但尚無法證明相關疑慮真會發生,政府對此政策有技術把握」。主事單位的資安首長以上述邏輯和態度面對 eID 的資安建設,顯現其資安專業素養的匱乏,也將無疑加深疑慮。

國內外業界的資安團隊,繆力投入大量的資源和時間成本,來提高產品和系統的安全性,並增加攻擊者的困難度、減少攻擊的影響程度,然而,包含資安業者在內,無一單位能因此保證不被攻擊或入侵。

資安攻防是進行式且持續性的工作,資安團隊存在的價值在於主動找出及應對「不知之不知(Unknown Unknown)」的安全漏洞或風險 ,當資安事件發生的時候,適時啟動準備完善的偵測、防禦及響應機制,降低對公司或客戶產生的負面風險 ── 防範未然與危機處理是資安團隊的基本功能與價值。尚待疑慮被證明才為之,是不正確且不負責的資安觀念。綜上,任命有實戰經驗的專責資安首長也因此顯得必要且迫切。

以上拙見,望請參考。

作為資安從業人員,我們深切希望與政府一同努力,正向改變台灣的資安文化及環境。也期盼政府秉持資安規範要求,用最高標準為國民的資料暨隱私安全做把關。

我們相信,面對國家級駭客的威脅,資安沒有妥協空間。

陳浩維(台灣駭客協會理事)

2021 年 1 月 8 日

臉書滑不到《報橘》精選好文?快把我們加入你的 Telegram 好友

推薦閱讀

【挑戰成功會不會被抓走?】內政部邀民眾攻破「數位身分證」,是消除資安疑慮還是慘遭洗臉

「不透明膠帶」能擋住老大哥監視?數位身分證換發倒數,唐鳳提「妙招」顧隱私

【第 7 代身分證有 3 不足】民間憂數位身分證個資被看光光,內政部:會再完備相關規範

(本文經原作者 陳浩維NEX Foundation 授權轉載,並同意 BuzzOrange 編寫導讀與修訂標題,原文標題為 〈改變台灣的資安文化,從數位身分證開始 ── 一位資安從業人員的公開信 〉。首圖來源:NEX Media Lab,未經授權,請勿轉載。)

點關鍵字看更多相關文章: