※ [本文轉錄自 Gossiping 看板 #1UsV7oVU ]
作者: Macmini2 (迷你2) 看板: Gossiping
標題: [新聞] 很多機密資訊早已洩漏,只是未公開!
時間: Fri Jun 5 15:19:12 2020
https://www.cw.com.tw/article/article.action?id=5100498
總統府為何被駭?專訪吳怡農:各部會資安,竟是查貪腐的人兼管
Web Only?
文?
林佳誼
?2020-06-01
一封「魯蛇」的駭客郵件,讓蔡英文立刻將資安列為台灣6大核心戰略產業之一,這能補
破網嗎?曾任職國安會的吳怡農接受《天下》專訪,再拋出打造「小內網」概念。
「如果不談或不面對問題,不承認有問題,我們不可能改善,」一身慣穿的輕便粉紅襯衫
與球鞋,與前民進黨立委參選人、現在是國防安全議題倡議組織「壯闊台灣聯盟」發起人
吳怡農臉上的嚴肅神情,形成強烈反差。
會這麼嚴肅,是因為一封署名為tsailoser(蔡魯蛇)的郵件,在520前夕攻破了總統府,
戳破總統蔡英文口中喊了4年的「資安即國安」政策。讓資安成了國家機密安全維護中最
脆弱的一環。
很多機密資訊已遭洩漏,只是未公開
事發後,吳怡農第一時間在臉書發出長文,成為綠營第一隻黑烏鴉。曾任職國安會的他,
直指政府資訊網「極為脆弱」,「很多對國家至關重要、更機密的資訊已遭洩漏,只是尚
未公開。」
身為備受栽培的政治明星,吳怡農為什麼要當綠營的黑烏鴉?過去在國安會任職期間,他
究竟看到了什麼?
他接受《天下》專訪,說明他跳出來的原因:
「政府機構體系這麼大,但是它的架構並沒有反應現在世界的運作方式,」吳怡農說,「
很多原因導致今天的問題,而要改善、克服這麼多困難的第一個前提,就是起碼大家要同
意有問題。」
事實上,蔡英文早在首任總統任期之初,制定國家資安政策方針時,就曾經高舉「資安即
國安」政策。過去4年,政府也確實推出多項令人眼花撩亂的資安「新政」,包含第一個
行政院資安專責機構「資通安全處」、第一部資安專法三讀通過、第一任國家資安長(現
由行政院副院長陳其邁兼任)等等,聲勢不可謂不浩大。
但曾經在總統府國安會任職,吳怡農卻看見許多漏洞。
漏洞1》缺統合,各部會自架內網
吳怡農發現,政府徒設眾多資安單位,卻缺乏整合,人事架構完全無法應對現實世界的國
防資安威脅,還形成「政風管資安」的荒謬設計。
他攤開政府的體系,從主管GSN(政府網際服務網)骨幹的國發會,負責資安政策制定、
工作執行與產業發展的行政院資安處,負責情報蒐集的國安局,到最近成立的調查局資安
工作站、針對網路犯罪成立的內政部偵九大隊,看似織起細密網絡。
但實際上,疊床架屋的設計,卻留下國安大漏洞。這是因為,國發會只管GSN骨幹,卻管
不了各部會如何在骨幹上自行架構內網;資安處含轄下技服中心,人力僅約1、200人,難
以掌握部會如何落實資安。國安局、調查局、刑事警察局,平常只能在各機關內部活動,
只能在出事時介入調查。
那麼,「平常是誰在每天保護系統的安全?感覺是各機關的資訊人員,但其實在政府體系
裡負責機關安全維護的理論上卻是政風,」吳怡農指出,根據現行的政府組織章程,機關
安全維護責任歸屬仍是廉政署的政風人員,政院機關內部沒有其他單位負責這一塊。
坐在政府機關內部的政風人員,名義上負責「機密維護」,有權在內部監督,實際上卻無
資安專才,主要工作都在肅貪。實際上各機關平時多由資訊科處編列少部分人員來勉強維
繫最低限度資安,真正出事了,只能由機關外的檢調國安單位來亡羊補牢。
漏洞2》缺人力,外包出事就「大事化小」
如果檢調國安體系真能及時掌握狀況,或許還不是最糟。但真相是,連這一點也有困難。
由於各機關單位裡頭真正專責資安的人員比例少之又少,依法規定政府資安人力需求估計
約為1千多人,實際上仍有約500人缺口待補。人力不足下,仰賴外包已成為公開秘密。每
次出事,外包廠商只對部會報告,而部會心態則是大事化小、小事化無,不想動輒上報至
國安層級,經常指示廠商盡速解決,讓系統恢復正常就好。
結果就是,久而久之,國安系統長期狀況外,缺乏系統性的完整資訊,難以掌握全局。
「大家只是從各自部會思考防堵,可是別人是對你整個政府在攻擊,」吳怡農說,「許多
原本看似孤立的資安事件,如果進一步整合起來,其實可以看到很多不斷發生的模式與途
徑,告訴我們這是一個系統性、策略性、針對性的攻擊,那麼我們的防範措施就會不一樣
,不會把單一事件當作只是某台電腦中毒這麼簡單。」
砍掉重練!從全新、乾淨的小內網做起
資安「新政」眾多擘劃,或許本是立意良善,但見樹不見林,在先天不良的基礎上又疊床
架屋。多頭馬車下,政府國防資安工作反而被層層打散、外包、瑣碎化,缺乏全局思維且
反應遲緩,面對不斷變換策略尋找系統弱點的境外攻擊,就像一隻笨重的大象被螞蟻扳倒
。怎麼解?
立委選後選擇不進入體制內,吳怡農拋出兩大概念,其一,是政府有必要破釜沉舟重新打
造資訊系統,首先從「小內網」做起。其二,是在這個新的資訊網絡之外,還要搭配有效
落實的安全權限管理機制。
「我們的解決方案必須是可執行的,現實是政府不可能成立一個5千人的資安部,但我們
可以有一個集中化的資訊系統,來做有效的管理,」吳怡農說。
他認為,現在GSN由國發會主管,但骨幹上各部會機關內網並不統一,彼此又缺乏安全的
橫向溝通管道,資安破口多不勝數。長時間下來,整個政府體系資訊網絡中早不知暗藏多
少的入侵程式、後門與病毒。「現在有誰在我們的網路裡面,我們是不知道的,」想徹底
解決問題,必須重新打造一個系統。
「這是大工程,怎麼辦?」吳怡農指出,美國國防部就有一個內網,由國防部架設,但通
用在所有可以接觸國家機密的部會機關。台灣也可以從最核心的系統開始,先打造一個全
新、乾淨的小內網,優先將涉及國家安全的機密,統一在這個小內網中保護處理。
無論內網隸屬哪個部會,重點是必須有一個專責單位來規劃設計與負責。所有牽涉到國安
機密的通訊與數據,都必須留在這個內網,「想像不管是在國防部、外交部、國安局,還
是總統府,都有這樣一台電腦連接內網,包含你的Word、簡報、Excel分析,你寫的備忘
錄,都只能在這個內網上產製與轉發。」
關鍵在使用權限,不是官愈大就可接觸愈多機密
不過,「內網只是硬體,背後還要有一個制度,」吳怡農強調,內網的另一環,是使用者
的許可權問題。許可權就是,決定誰可以接觸國家機密?誰保護資訊,資訊存放在哪裡?
誰可以存取這個資訊?「這背後必須有個機制是賦予安全權限,而且必須各部門一體適用
,不然各機關各行其是,就沒有用了,」他強調。
在國安會時,他負責的專案之一就是安全權限檢討。結果赫然發現,台灣公部門人員的安
全查核表格,不僅查核內容薄弱,落實程度也極為低落。「台灣現在,老實說是0,」他
坦言。
每個民主國家都有人員權限管理制度,什麼位階、什麼職權,可以接觸什麼機密,都有一
套原則來管理,不是單純官愈大就可以接觸愈多機密,反而導致「愈機密的資料,管理卻
可能愈不嚴謹」的現象。
回到總統府遇駭,吳怡農強調,「這件事真正嚴重的地方是,這告訴我們,如果這個(府
內文件)都拿得到,說明現在資訊系統的管理方式是有問題的,」除了事件調查,更重要
的是要有通盤檢討整體國防資安政策的決心。
過去在媒體採訪中曾說過最喜歡粉紅色的鮮豔,吳怡農此番大膽直言,不是想做綠營黑烏
鴉,而是能夠喚起人們注意的「粉紅色」烏鴉。(責任編輯:王儷華)