生活中心/實習編輯潘卉秋報導
月初中油、台塑系統遭駭,總統府電腦系統近日也疑遭駭客入侵,匿名發送電郵給主跑總統府線記者,520總統就職典禮前夕資安問題頻傳,不免引發諸多揣測,對此,曾任總統府國安會專委的吳怡農在臉書粉絲專頁「壯闊台灣 吳怡農」寫下千字長文,提出他的觀點及隱憂。
▲吳怡農在臉書貼文中提到,政府不斷地倡導「資安即國安」,但這些攻擊仍未被有效阻絕。(圖/翻攝自「壯闊台灣 吳怡農」臉書粉絲專頁)
吳怡農說,目前看來駭客攻擊程度僅止於政治與形象上的傷害。他表示,過去在國安會研究的問題之一就是政府網路系統安全,那「究竟有多少對國家至關重要、更機密的資訊,沒有妥善保護、已遭洩漏,只是尚未公開?我不得不沈重地說:很多」。
吳怡農更提到,政府的資訊網絡極為脆弱,且長期遭受境外勢力大規模、系統性的侵入,包括全民健保資料庫、公文系統等等,這些重要資訊都是全民資產。當政府不斷地倡導「資安即國安」,這些攻擊卻仍未被有效阻絕,幾乎所有核心政府單位的資訊系統都曾被成功滲透;再加上各機關之間都有連線,已造成的損害難以估量。然而,每每發生資安事件,受害的單位往往各自尋求委外廠商個別處理,將電腦或伺服器「清理乾淨」,就結案了事;此類事件也大多在國安單位還未參與調查前,就被歸類為「非國安事件」、「非涉及核心業務」處理,並未進一步檢視系統性的威脅,甚至提出防患於未然的措施。一直以來,「存放國家最機敏資料的機制,沒有被當成核心問題來面對。」
▲曾任國安會專委的吳怡農針對總統府疑遭駭客入侵事件提出觀點及結構性問題。(圖/翻攝自「壯闊台灣 吳怡農」臉書粉絲專頁)
因此,吳怡農提出三大結構性問題:
1、政府內部沒有專責單位及人員負責系統安全:公務體系沒有相關的「職系」來培養專業人力;若系統出事,主要由委外的民間廠商協助「清毒」善後,或必要時行政院技術服務中心協助,但無論如何盡可能避免國安人員的涉入;各機關由非專業的副首長兼任資安官,缺乏專業背景,也難以形成專業而客觀的文官體系。
2、政府未對使用者建立安全規範並實施安全教育:長期以來,長官只要層級夠高,便可以使用個人電腦工作及存放公務資料,形成「愈機敏的資料、管理卻可能愈不嚴謹」的奇怪現象;我們常提到的使用者「人員安全權限制度」也從未落實。
3、政府機關之間沒有「跨部會內網」:機關各行其事,又缺乏安全的橫向溝通管道;在「內網」撰寫的資料,卻需要透過「外網」來傳遞給其他部會;彼此通訊仰賴 Line、Telegram 或 Signal,徒增資料外流的風險(而且無法追蹤、事後分析或利用)。
最後,吳怡農認為「危機就是轉機」,這次事件是勇敢面對、徹底檢討、改善政府資安、落實「資安即國安」的機會。