主页 > 英美散文 >中国时报社论从国安层级防範资安风险 >
中国时报社论从国安层级防範资安风险
2020-04-27
中国时报27日社论--从国安层级防範资安风险,全文如下:

 宣称是便民措施的新户政系统上线,却因系统不稳、龟速连线、频频当机,结果变成扰民措施,到底是软硬体设计、承包厂商施工或官员决策错误,哪一个环节出了纰漏?民怨沸腾下,行政院长江宜桦宣示「行政究责没有层级限制」,要求内政部本周内提出检讨报告。内政部长李鸿源虽已去职,但资安问题不容轻忽,检讨工作不可停顿,江院长必须紧盯到底,让真相水落石出。

 eTag资安已引起重大争议,新户政系统又出包,这些与民众息息相关的资讯基础建设相继出状况,凸显资安潜藏极大风险。政府若把户政当机视为个案,仅从技术端来检讨,恐流于轻忽、草率,应从国安层级来全面检视国内资安问题,到底还有哪些资安漏洞需要补强?

 就以eTag为例,行政院资安办公室认定委外包商程式设计不良,加上频宽不足,才导致塞车瘫痪,而非是遭骇客阻断式攻击。然而,不论eTag网路系统与外部连结,加上远通并未建置高规格的防火墙,远通本身已是「资料大亨」,握有每日上国道数百万辆车子的资讯,难保不会成为骇客觊觎的肥羊。

 至于户政系统虽属于封闭网路系统,并未与外部网路连结,仍可能透过工作人员或系统厂商接触,植入病毒窃取资料。先前就有某政府机关官员,利用电脑USB让手机充电,结果因为手机内部藏有恶意程式而中毒,导致内部电脑系统遭盗取密码并录音档透过USB装置传送出去。

 而国防部建置的资讯工程都是委外承包,光是「环安达」就承包国防部103年度电脑设备维护、后指部103年公文暨档案管理系统、国安局电话交换机系统维护,还有国道交通管制系统、铁路局资讯系统维护等多项工程,倘若有心人士透过厂商端入侵,后果不堪设想。

 虽然尚未发生任何针对国家基础设施的网路攻击事件,但若发生,可能造成飞机相撞、断水断电、红绿灯失灵、医疗设施停摆、银行帐户错乱情势;所谓的「网路911」,在未来战争是极可能发生的,而且是资讯战结合军事行动,先由网军出击瘫痪电力等基础设施,接着派兵入侵。

 北韩可能已经开始运用网路战争手段,去年3月下旬,南韩3家电视台和6家金融机构的电脑网路,遭骇客攻击大当机;南韩追蹤出骇客的IP位址来自大陆,研判北韩可能间接对南韩发动网攻,而且骇客可能是以複杂的「进阶持续性渗透攻击」瘫痪电脑网路。

 大陆解放军早已了解未来的战争型态,「动滑鼠」比「扣扳机」还重要,急起直追建立网军部队;美国与欧盟也固定举行资安演习,将网路攻防提升到国家层级的军事演练。如今,许多国家的网军攻击型态,已从过去的单纯窃取机密,慢慢变成对基础设施的入侵,一旦需要的时候就可以进入、破坏,危害到敌对国的交通运输和金融秩序等。

 国安会与行政院已成立「资讯安全办公室」统筹国家的整体安全防护,每年固定举办资安演习;在衡山指挥的年度政经兵推,也把网路攻击、骇客瘫痪交通与行政系统列为演习想定,但这些作为仍有不足。

 行政院资安办公室去年底「网路攻防演练办理情形」指出,社交工程邮件演练,居然有少数机关的开启或点阅率高达20%,根本毫无警觉心,显然有必要强化资安教育,行政院应拟定奖惩机制,避免公务员变成网路漏洞。

 行政院虽把政府机关区分为「国防、行政、学术」、「水、电、石油、瓦斯」、「交通、通信、网路、航管」、「金融、证券、关贸、医疗」等4级来建置资安防护体系,但科技日新月异,骇客手法不断翻新,政府更要编列预算,定期更新防护措施。

 此外,政府委外BOT案,诸如重大建设如高铁、远通ETC等系统,也要比照政府机关的资安防护措施来建置,这些要求必须写入合约,并适用于未来所有BOT案。因为BOT案虽是委外经营,大都属于重大基础建设,一旦出问题不仅影响民众权益,政府也有相对责任。

 至于如何防範个资外洩?从技术上看,不论是eTag或户政系统都有漏洞,骇客仍可能透过各种管道来窃取大量的民众资讯,因而强化网路资讯保密是最基本的要求。目前国外也开始推行差分隐私的概念,刻意将某些资料模糊化,避免在查询或使用资料时,透露确切的资讯。

 资讯战是一个看不见的战场,却能决定一场战争的胜负,政府除将资安提升至国安层级外,相关攻防战略亦应有套完备计画与演练,才不会落至后手;检验一个国家网路资讯进步程度,不只是网路速度或上网便利性,资安也是重要一环。