Fw: [新聞] 吳怡農:很多機密資訊早已洩漏,只是未公

作者: gouba (喔二一世紀了)   2020-06-05 15:47:53
※ [本文轉錄自 Gossiping 看板 #1UsV7oVU ]
作者: Macmini2 (迷你2) 看板: Gossiping
標題: [新聞] 很多機密資訊早已洩漏,只是未公開!
時間: Fri Jun 5 15:19:12 2020
https://www.cw.com.tw/article/article.action?id=5100498
總統府為何被駭?專訪吳怡農:各部會資安,竟是查貪腐的人兼管
Web Only?
文?
林佳誼
?2020-06-01
一封「魯蛇」的駭客郵件,讓蔡英文立刻將資安列為台灣6大核心戰略產業之一,這能補
破網嗎?曾任職國安會的吳怡農接受《天下》專訪,再拋出打造「小內網」概念。
「如果不談或不面對問題,不承認有問題,我們不可能改善,」一身慣穿的輕便粉紅襯衫
與球鞋,與前民進黨立委參選人、現在是國防安全議題倡議組織「壯闊台灣聯盟」發起人
吳怡農臉上的嚴肅神情,形成強烈反差。
會這麼嚴肅,是因為一封署名為tsailoser(蔡魯蛇)的郵件,在520前夕攻破了總統府,
戳破總統蔡英文口中喊了4年的「資安即國安」政策。讓資安成了國家機密安全維護中最
脆弱的一環。
很多機密資訊已遭洩漏,只是未公開
事發後,吳怡農第一時間在臉書發出長文,成為綠營第一隻黑烏鴉。曾任職國安會的他,
直指政府資訊網「極為脆弱」,「很多對國家至關重要、更機密的資訊已遭洩漏,只是尚
未公開。」
身為備受栽培的政治明星,吳怡農為什麼要當綠營的黑烏鴉?過去在國安會任職期間,他
究竟看到了什麼?
他接受《天下》專訪,說明他跳出來的原因:
「政府機構體系這麼大,但是它的架構並沒有反應現在世界的運作方式,」吳怡農說,「
很多原因導致今天的問題,而要改善、克服這麼多困難的第一個前提,就是起碼大家要同
意有問題。」
事實上,蔡英文早在首任總統任期之初,制定國家資安政策方針時,就曾經高舉「資安即
國安」政策。過去4年,政府也確實推出多項令人眼花撩亂的資安「新政」,包含第一個
行政院資安專責機構「資通安全處」、第一部資安專法三讀通過、第一任國家資安長(現
由行政院副院長陳其邁兼任)等等,聲勢不可謂不浩大。
但曾經在總統府國安會任職,吳怡農卻看見許多漏洞。
漏洞1》缺統合,各部會自架內網
吳怡農發現,政府徒設眾多資安單位,卻缺乏整合,人事架構完全無法應對現實世界的國
防資安威脅,還形成「政風管資安」的荒謬設計。
他攤開政府的體系,從主管GSN(政府網際服務網)骨幹的國發會,負責資安政策制定、
工作執行與產業發展的行政院資安處,負責情報蒐集的國安局,到最近成立的調查局資安
工作站、針對網路犯罪成立的內政部偵九大隊,看似織起細密網絡。
但實際上,疊床架屋的設計,卻留下國安大漏洞。這是因為,國發會只管GSN骨幹,卻管
不了各部會如何在骨幹上自行架構內網;資安處含轄下技服中心,人力僅約1、200人,難
以掌握部會如何落實資安。國安局、調查局、刑事警察局,平常只能在各機關內部活動,
只能在出事時介入調查。
那麼,「平常是誰在每天保護系統的安全?感覺是各機關的資訊人員,但其實在政府體系
裡負責機關安全維護的理論上卻是政風,」吳怡農指出,根據現行的政府組織章程,機關
安全維護責任歸屬仍是廉政署的政風人員,政院機關內部沒有其他單位負責這一塊。
坐在政府機關內部的政風人員,名義上負責「機密維護」,有權在內部監督,實際上卻無
資安專才,主要工作都在肅貪。實際上各機關平時多由資訊科處編列少部分人員來勉強維
繫最低限度資安,真正出事了,只能由機關外的檢調國安單位來亡羊補牢。
漏洞2》缺人力,外包出事就「大事化小」
如果檢調國安體系真能及時掌握狀況,或許還不是最糟。但真相是,連這一點也有困難。
由於各機關單位裡頭真正專責資安的人員比例少之又少,依法規定政府資安人力需求估計
約為1千多人,實際上仍有約500人缺口待補。人力不足下,仰賴外包已成為公開秘密。每
次出事,外包廠商只對部會報告,而部會心態則是大事化小、小事化無,不想動輒上報至
國安層級,經常指示廠商盡速解決,讓系統恢復正常就好。
結果就是,久而久之,國安系統長期狀況外,缺乏系統性的完整資訊,難以掌握全局。
「大家只是從各自部會思考防堵,可是別人是對你整個政府在攻擊,」吳怡農說,「許多
原本看似孤立的資安事件,如果進一步整合起來,其實可以看到很多不斷發生的模式與途
徑,告訴我們這是一個系統性、策略性、針對性的攻擊,那麼我們的防範措施就會不一樣
,不會把單一事件當作只是某台電腦中毒這麼簡單。」
砍掉重練!從全新、乾淨的小內網做起
資安「新政」眾多擘劃,或許本是立意良善,但見樹不見林,在先天不良的基礎上又疊床
架屋。多頭馬車下,政府國防資安工作反而被層層打散、外包、瑣碎化,缺乏全局思維且
反應遲緩,面對不斷變換策略尋找系統弱點的境外攻擊,就像一隻笨重的大象被螞蟻扳倒
。怎麼解?
立委選後選擇不進入體制內,吳怡農拋出兩大概念,其一,是政府有必要破釜沉舟重新打
造資訊系統,首先從「小內網」做起。其二,是在這個新的資訊網絡之外,還要搭配有效
落實的安全權限管理機制。
「我們的解決方案必須是可執行的,現實是政府不可能成立一個5千人的資安部,但我們
可以有一個集中化的資訊系統,來做有效的管理,」吳怡農說。
他認為,現在GSN由國發會主管,但骨幹上各部會機關內網並不統一,彼此又缺乏安全的
橫向溝通管道,資安破口多不勝數。長時間下來,整個政府體系資訊網絡中早不知暗藏多
少的入侵程式、後門與病毒。「現在有誰在我們的網路裡面,我們是不知道的,」想徹底
解決問題,必須重新打造一個系統。
「這是大工程,怎麼辦?」吳怡農指出,美國國防部就有一個內網,由國防部架設,但通
用在所有可以接觸國家機密的部會機關。台灣也可以從最核心的系統開始,先打造一個全
新、乾淨的小內網,優先將涉及國家安全的機密,統一在這個小內網中保護處理。
無論內網隸屬哪個部會,重點是必須有一個專責單位來規劃設計與負責。所有牽涉到國安
機密的通訊與數據,都必須留在這個內網,「想像不管是在國防部、外交部、國安局,還
是總統府,都有這樣一台電腦連接內網,包含你的Word、簡報、Excel分析,你寫的備忘
錄,都只能在這個內網上產製與轉發。」
關鍵在使用權限,不是官愈大就可接觸愈多機密
不過,「內網只是硬體,背後還要有一個制度,」吳怡農強調,內網的另一環,是使用者
的許可權問題。許可權就是,決定誰可以接觸國家機密?誰保護資訊,資訊存放在哪裡?
誰可以存取這個資訊?「這背後必須有個機制是賦予安全權限,而且必須各部門一體適用
,不然各機關各行其是,就沒有用了,」他強調。
在國安會時,他負責的專案之一就是安全權限檢討。結果赫然發現,台灣公部門人員的安
全查核表格,不僅查核內容薄弱,落實程度也極為低落。「台灣現在,老實說是0,」他
坦言。
每個民主國家都有人員權限管理制度,什麼位階、什麼職權,可以接觸什麼機密,都有一
套原則來管理,不是單純官愈大就可以接觸愈多機密,反而導致「愈機密的資料,管理卻
可能愈不嚴謹」的現象。
回到總統府遇駭,吳怡農強調,「這件事真正嚴重的地方是,這告訴我們,如果這個(府
內文件)都拿得到,說明現在資訊系統的管理方式是有問題的,」除了事件調查,更重要
的是要有通盤檢討整體國防資安政策的決心。
過去在媒體採訪中曾說過最喜歡粉紅色的鮮豔,吳怡農此番大膽直言,不是想做綠營黑烏
鴉,而是能夠喚起人們注意的「粉紅色」烏鴉。(責任編輯:王儷華)
作者: iocal (concrete)   2019-06-05 15:19:00
太長 END
作者: aqsss (5566得第一)   2019-06-05 15:19:00
? 我想說標題好潮
作者: bonfferoni (bonfferoni)   2019-06-05 15:20:00
五樓包莖處男
作者: PunkGrass (龐克草)   2019-06-05 15:21:00
格式有符合板規嗎
作者: huangchaotzu (夏威夷來的女孩)   2019-06-05 15:21:00
找台積電來 可以就台灣資安嗎?
作者: hawaii987 (悲傷控肉飯)   2019-06-05 15:21:00
現在是民進黨執政 國安 資安還洩漏 唐鳳幹假的?
作者: EDDIEHA (EDDIE)   2019-06-05 15:22:00
講真話 推
作者: hawaii987 (悲傷控肉飯)   2019-06-05 15:22:00
還是民進黨在做共產黨的小弟
作者: lwamp (堯堯)   2019-06-05 15:23:00
改革很簡單 就是有太多黨國餘孽需要剷除啦
作者: qwert810 (好豆漿 不喝嗎)   2019-06-05 15:24:00
又再黨國餘孽 都輪幾次了
作者: aqsss (5566得第一)   2019-06-05 15:24:00
農夫農婦又要變多了?
作者: Mohism (墨者)   2019-06-05 15:25:00
不是阿 所以你要罷免的吳斯懷提的問質疑 你是沒看到喔
作者: askey (像鑰匙)   2019-06-05 15:26:00
民進黨第一天執政嗎?
作者: Mohism (墨者)   2019-06-05 15:26:00
他不偷國防資料 只偷民進黨開會資料 還發給記者 你怪到國
作者: ai1robert (DA ONE)   2019-06-05 15:27:00
白癡
作者: Mohism (墨者)   2019-06-05 15:27:00
防 怎麼就是不敢承認是總統府內部自己人發的?
作者: smalltwo (獎金獵人)   2019-06-05 15:27:00
要不要先說說你們民進黨年初怎被入侵的
作者: wolver (超級大變態)   2019-06-05 15:27:00
寫那麼多 內文卻跟文組認識的一樣
作者: KJoshT (孤獨的旅程)   2019-06-05 15:27:00
都執政多久現在才想到資安嗎?
作者: neverli (想睡)   2019-06-05 15:28:00
明明是你們派系內鬥
作者: wolver (超級大變態)   2019-06-05 15:29:00
文組的吳怡農難怪說起來跟文組認知的方式一樣
作者: mercedeces (M__M)   2019-06-05 15:29:00
賀明你說說看?
作者: rick65134   2019-06-05 15:33:00
政風管資安 真的是笑死了... 根本是文組管資安的意思吧
作者: apple777 (apple777)   2019-06-05 15:38:00
今天任何一個綠共黨首長名字改成柯文哲,馬上砲轟一個月,看看桃園就知道差別待遇在哪
作者: rayonwu (皂絲)   2019-06-05 15:42:00
作者: qazws08 ([戲言])   2020-06-05 18:04:00
大家要支持不簡單的處長,鹽烤火候足,資安一定讚
作者: loking (J)   2020-06-05 21:01:00
覺得蠻有道理的,但是做不起來,在預算人力限制下,只能做到各機關自建內網吧
作者: kevin600339 (GungHoShin)   2020-06-05 21:14:00
紙本公文路過有人拍照的話都可以上網啊你要怎麼辦
作者: alair99 (I think home)   2020-06-05 22:19:00
這樣看起來資訊化並沒有任何好處,那就恢復全部紙本作業啊
作者: hune (無)   2020-06-05 22:59:00
講得沒錯呀 沒什麼好酸的吧
作者: KarlMarx (抗議WTO無罪!立刻放人!)   2020-06-05 23:10:00
講的是沒錯啊,省錢省員額,下場就是累死公務員。
作者: P1986625 (123)   2020-06-06 00:41:00
講誰不會講,講的好像貴黨第一天執政
作者: nutor (cloudland)   2020-06-06 00:49:00
只會講空話!還好台北市民素質高
作者: Mryuan (晚上好)   2020-06-06 03:31:00
廉政署管資安真是個笑話
作者: scott123321 (打倒萬惡共匪)   2020-06-06 09:03:00
講了一大篇空話,是出來為選舉熱身嗎?
作者: CHS5566 (CHS)   2020-06-06 09:06:00
笑死,政府機關整天成立 line 群組,不加還不行,還跟我講資安,北七沒藥醫
作者: payeah (大佐)   2020-06-06 09:46:00
推樓上
作者: wantin1122 (尪仔飄)   2020-06-06 09:47:00
推C大
作者: jackzhc911 (jack)   2020-06-06 09:48:00
我做資安這麼久,還真不認同他說的。
作者: R3210 (貪小便宜你會損失更多)   2020-06-06 14:09:00
在他之前也一堆講一樣話的 真的選上還不是毫無改變
作者: este1a (曾幾何時臭機八)   2020-06-06 18:04:00
完全執政 完全they的錯
作者: WTF1111 (BBS少看為妙)   2020-06-06 18:52:00
專訪這傢伙?還在博版面喔
作者: Scansnap (1234)   2020-06-06 19:16:00
一個是原有公文密等電子化,一個是電子化後的資訊安全,這是哪一個?
作者: bookshop (哈)   2020-06-06 22:43:00
政客內鬥 都是they(常任文官)的錯
作者: littlehost (嘿嘿嘿)   2020-06-08 12:32:00
前面講的還不錯,雖然是老生常談,但看到後面說的,果然又在打高空

Links booklink

Contact Us: admin [ a t ] ucptt.com