隨著美國眾議院議長裴洛西(Nancy Pelosi)訪台後,中國不僅展開環台軍演、發射飛彈,另一方面,台灣也遭受資安侵擾,日前總統府、國防部、外交部等政府單位官網不約而同遭到境外駭客攻擊,不僅如此,民間的台鐵、7-11超商廣告看板也接連出現反裴洛西的相關文字。
沒想到8月7日晚間更傳出,台灣大學教務處官網、研發處也相繼被駭,網頁上出現「世界上只有一個中國」的標語,讓校方緊急關閉2單位的首頁。這一連串的資安威脅,皆顯示台灣的資安漏洞出現很大的隱憂,不免讓人懷疑,難道這幾年蔡政府推行的「國安即資安」淪為口號?
(更多新聞/駭客撞庫攻擊已超過百萬戶 券商被要求「客戶全面修改密碼」 沒改恐無法下單)
《資安法》沒有規範民間單位,專家評政府資安治理不及格
前資策會資安所所長、現為台大電機工程學系教授林宗男認為,這次裴洛西抵台拜會立法院時提及,國會代表團出訪通常有3大目的,分別是安全、經濟以及治理,他認為,資安議題也是如此。
從安全的層面來看,不管是統一超商與台鐵皆是以提供某種服務作為營運目標,但任何行業都脫離不了使用資通訊系統,像是台鐵在提供服務時首要確保民眾的運輸安全,除此之外也會透過資通訊系統去輔助傳輸機制;超商則是確保食品安全之外,也會提供數位金融平台的服務,同樣也必須確保超商消費者的資訊安全。
其次經濟面層面,任何行業在衝刺營業額的同時,為了確保消費者的資訊安全,也應該投入資通訊安全的強化措施,像是超商擴展行動支付場域所產生的金融交易是否安全,也必須定期檢視。
更重要的是,治理的層面,林宗男指出,目前政府的資安治理雖實施《資通安全管理法》(簡稱《資安法》)進行規範,但規範對象卻明顯不足,原因是《資安法》僅規範公部門以及關鍵基礎設施等非公務機關,這裡指的關鍵基礎設施包括能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、高科技園區等領域。換言之,民間企業的私部門並沒有完全被納入監督機制。
但林宗男直言,民眾去超商的頻率比去銀行的頻率還高,而且超商除了買東西以外,民眾也會進行繳費、領取交通票券等,甚至因應數位化,超商的支付工具也擴展至許多行動支付,換句話說,超商已扮演著數位化時代與民眾接觸相當頻繁的角色。
整體來說,林宗男認為,政府資安治理是相當不合格,因為從事件剛發生的時候,行政院的因應措施僅針對政府機關場域禁用大陸製資通訊產品,請問民間單位呢?「民眾有免於恐懼的自由當然也包含資訊安全,老百姓都有繳稅,但政府怎麼可以只局限於政府場域,是要告訴人民,其他的單位就自己自求多福嗎?」
(更多新聞/資安就是國安》中共軍演驗證其資訊作戰計畫 也在測試台灣數位韌性)
數發部架構淪為疊床架屋,能解決民間的資安問題?
另外,行政院已宣布數位發展部將於8月27日掛牌,由唐鳳接任首任部長,其中,數發部架構將包含數位產業署、資訊安全署2署、6個司,以及統管3個財團法人分別是資策會、電信技術中心、台灣網路資訊中心,而「行政法人國家資通安全研究院」也預計將在年底成立。
不過,林宗男直言,數發部的成立就是要解決民間機關面臨紅色木馬的滲透,隨著經濟部旗下的資策會移至數發部,資安所也跟著轉移;NCC旗下的電信技術中心(TTC)也會轉移至數發部;另外原本的行政院國家資通安全會報技術服務中心也會併入數發部,這些都是擁有資安能量的法人單位,如今數發部卻還要再成立一個資安研究院,「我認為這是疊床架屋,是嫌政府部會的法人單位不夠多嗎?請問資安研究院是要做什麼高深的研究?」
(更多新聞/最新》部長內定唐鳳、郭耀煌辭職獲准 數發部掛牌恐又延至7、8月)
民間單位也必須納入政府監督範圍,適時祭出嚴罰
隨著越來越多政府單位系統被駭、官網遭到癱瘓,私部門也遭到入侵,林宗男最後則建議,政府部門應該要先體認到真正的問題所在,才能真正的解決問題,另外,政府也必須從正規的學校教育裡培養專業的資安人才。
至於民間單位,政府部門也應該大刀闊斧控管,針對民間企業發生資安事件除了要求改善之外,另外,主管機關也應該採取罰則,督促民間企業投入資源,改善資訊安全設備,甚至若涉及到金融交易,民間企業若無法在第一時間改善,主管機關也應該限制或暫停它繼續執行通路的金融交易。
隨著裴洛西來台,讓台灣的資訊安全疑慮浮上檯面。這些看不見的空戰,政府必須好好正視問題。