這篇文章一半對一半錯,很明顯是外行人說內行話,我建議吳怡農若未來要朝政治領域發
展,應該要去跟相關領域的專業人員確認複查內容,免得讓行內人笑掉大牙,也避免誤導
社會大眾造成錯誤的觀念,這篇我建議英粉可以去檢舉造謠的網址告發他,無端指責造成
社會大眾的恐慌,吳怡農值得被罰300萬,連帶散播不實言論的陳為廷也應該要罰300萬
※ 引述《zoosleep (王者)》之銘言:
: 1.轉錄標題︰
: 若為 他板文章可免填 請寫名稱
: 1.轉錄網址︰
: ※超過一行請縮址,若為 他板文章可免填※https://m.facebook.com/story.php?st
or
: y_fbid=3432545636761564&id=100000184845613
: 2.轉錄來源︰
: ※超過一行請縮址,若為 他板文章可免填※陳為廷
: 3.轉錄內容︰
: ※請完整轉載原文 請勿修改內文與編排※
: 【資安即國安?解決問題必須見樹又見林】
:
: 根據媒體這週末的報導,總統府內電腦或系統遭駭。目前外界有種種假設──也許是資
訊
: 混淆和政治操作;或許涉及內部人員、或許是境外干預;無論如何,在調查尚未明朗前
,
: 我們不在此時作任何揣測。
:
: 此事件目前看來波及程度限於政治與形象上的傷害。但如果確實涉及總統府電腦或系統
的
: 侵駭,對中央政府機關最深切的警惕,是這個行為路徑不但可被執行,而且透過駭客刻
意
: 公開,政府才得知、而不得不公開回應。
:
: 政府網路系統安全,作為國家關鍵基礎設施的一環,是我在國安會研究的問題之一:那
期
: 間,我參與跨部門會議、調閱歷年紀錄、也訪問第一線政府人員及業者。
:
: 究竟有多少對國家至關重要、更機密的資訊,沒有妥善保護、已遭洩漏,只是尚未公開
?
: 我不得不沈重地說:很多。
:
: 總統或行政院長若下令檢視2016年至今所有涉及政府系統的資安事件,就會發現一個清
楚
: 的脈絡:從最高機構總統府到三級單位如氣象局,政府的資訊網絡極為脆弱,並長期遭
受
: 境外勢力大規模、系統性的侵入,包括全民健保資料庫、公文系統等等,近期更透過委
外
: 廠商取得系統權限。這些重要的資訊都是全民資產,也是政府的責任。
:
: 過去四年,當政府不斷地倡導「資安即國安」,這些攻擊未被有效阻絕,幾乎所有核心
政
: 府單位的資訊系統都曾被成功滲透;
請舉出數據證明,否則你是無端造謠
: 然而每每發生資安事件,受害的單位往往各自尋求委外廠商個別處理,將電腦或伺服器
「
: 清理乾淨」,就結案了事;此類事件也大多在國安單位還未參與調查前,就被歸類為「
非
: 國安事件」、「非涉及核心業務」處理,並未進一步檢視系統性的威脅,甚至提出防患
於
: 未然的措施。
就我接觸到的各個公部門資訊主管,並非如吳怡農所說的鄉愿跟顢頇。
我時常在各大資安研討會上,看到各個公部門主管分享資安事件處理與改善措施,
並提供公部門在資安上的需求給資安廠商作為產品開發的參考,
也藉由分享公部門的處理經驗來幫助一般企業建構更完善的資訊管理制度,
雖非全部,但金管會、國稅局、資通處、法務部都有積極參與資安管理系統的建立
與經驗分享,例如去年iThome舉辦的CFS,就有法務部跟國稅局資訊主管站上講台,
分享資安管理與數位鑑識,吳怡農的說法把公部門所有資訊單位的努力重重打了
一巴掌,不但無知而且自以為是!應該要罰300萬
https://cybersec101.ithome.com.tw/
:
: 馬政府時期的國安會,曾經試圖面對這個問題,檢討政府資訊系統的安全設計和管理。
但
: 接連開了幾次會議之後,反倒變成「向外」檢討,例如:嚴管民間(金融、水電、交通
等
: 領域業者)的資通訊安全。過去幾年,蔡政府也延續此政策方向:行政院推動「資安管
理
: 法」,國安會研擬「國家資通安全戰略報告」,但始終沒有把重點放在政府「內部」的
問
: 題。也就是說,存放國家最機敏資料的機制,沒有被當成核心問題來面對。
這段是讓我最火的,過去因為工作關係,我跟專責公部門的資安管理的單位有接觸,
該單位有6張CISSP證照貼在一樓,在我服務期間,他們推了資通安全法,還建立了公
部門一體適用的資安事件處理流程,該流程在iThome也有報導,
也是私人企業參考的範本。
吳怡農的說詞很明顯完全狀況外,連公部門早已運行多時的資安事件處理流程都不知道,
散播不實言論,值得被罰300萬
https://www.ithome.com.tw/news/133776
:
: 所以,政務官不信任政府系統(姑且不談「不信任體制內公務員」,或許改天來討論的
嚴
: 重問題),高層的機敏訊息很多盡量不透過官方系統,甚至用個人電腦,導致現在,每
個
: 人的個人裝置(手機、筆記型電腦)都可能是破口;而且遭駭時,因為不受專責人員管
控
: ,根本難以查覺。
:
: 【法弊於積習,人樂於因循;還有多少資安未爆彈待拆?】
:
: 要確保「資訊安全」,必須顧到人員 (personnel)、系統 (network / ICT) 、實體與
環
: 境 (physical) 的安全。在各個面向,我們都看到很多長期以來所累積的結構性問題:
:
: 1 政府內部沒有專責單位及人員負責系統安全:公務體系沒有相關的「職系」來
培
: 養專業人力;若系統出事,主要由委外的民間廠商協助「清毒」善後,或必要時行政院
技
: 術服務中心協助,但無論如何盡可能避免國安人員的涉入;各機關由非專業的副首長兼
任
: 資安官,缺乏專業背景,也難以形成專業而客觀的文官體系。
一半對一半錯,像我這兩天就說總統府的資安事件最高負責人是陳其邁,
他就是明顯的不管事門外漢主管,,而實際執掌國內公部門資安業務的最高負責人,
則是轄下的資通安全處長,且該單位非僅協助的角色。
https://cyber.ithome.com.tw/2017/speaker-paging/1707.html
公部門資安規範與區域聯防機制建立說明
https://youtu.be/rcmQjupwOao
還有別隨便把資安單位掛嘴邊,這不是路邊小吃攤,你寫出來前有經過單位主管同意嗎?
:
: 2 政府未對使用者建立安全規範並實施安全教育:長期以來,長官只要層級夠高
,
: 便可以使用個人電腦工作及存放公務資料,形成「愈機敏的資料、管理卻可能愈不嚴謹
」
: 的奇怪現象;我們常提到的使用者「人員安全權限制度」也從未落實。
又是亂扯一通
: 3 政府機關之間沒有「跨部會內網」:機關各行其事,又缺乏安全的橫向溝通管
道
: ;在「內網」撰寫的資料,卻需要透過「外網」來傳遞給其他部會;彼此通訊仰賴 Lin
e
: 、Telegram 或 Signal,徒增資料外流的風險(而且無法追蹤、事後分析或利用)。
:
: 危機就是轉機,這次事件是勇敢面對、徹底檢討、改善政府資安、落實「資安即國安」
的
: 機會。
資安最大的問題,就是像吳怡農這種天兵,不懂裝懂口不擇言,
破壞公部門資訊單位長久努力累積下來的威信,
散佈錯誤的資訊造成恐慌與社會大眾的不信任,
我只問你一句話,去年的資安大會你去了沒?
https://www.ithome.com.tw/news/128789
: 4.附註、心得、想法︰
: 陳為廷分享吳怡農臉書
: 希望現在政府面對資安的危機時
: 能徹底檢討
: 努力改進 勇敢面對
: 才能落實 資安即國安