美國眾議院議長裴洛西來台後,中國隨即對台發動軍演,不僅台鐵車站、統一超商等公播看板遭到駭客入侵,民視網站共有4天遭到攻擊,面對中國網軍史無前例的戰狼式攻擊,8月底掛牌的數位發展部,起手式則是「禁止公共場域看板使用中國製軟硬體」,然而,台灣的資安問題,真的只是軟硬體設備「中國製」與否嗎?
無論中國有沒有對台發動軍演甚至封鎖台海,台灣無時無刻暴露在中國網軍攻擊的風險之中。從「護國神山」台積電在2018年發生機台中毒、3天損失26億元,到最近中國對台軍演期間,台鐵、統一超商的戶外電子看板淪陷,民視網站5天遭侵入4次,網站畫面被換為「中國一點都不能少」,還加上音樂《我和我的祖國》,時間長達3分鐘,就可以看出台灣政府與民間資訊系統,存在不少弱點。
政府資安前瞻預算僅6億元 數位發展部組成人員有疑慮
面對中國網軍無時無刻的威脅,台灣政府部門過去幾年的資訊安全投資,其實頗為陽春。民進黨政府上台後,編列的8千900億元前瞻基礎建設,其中,2017到2020年的前瞻1.0特別預算,針對資安部分,行政院核定「強化國家資安基礎建設計畫」,經濟部、國發會、國家通訊傳播委員會(NCC)共同執行,特別預算規模僅6億元。
總統蔡英文連任後公布的前瞻2.0特別預算,數位建設預算占比,雖然比前瞻1.0的5%提升至16%,但多數係用在半導體等硬體領域,數位轉型三大重點的半導體相關領域編列約63億元、人工智慧(AI)約30億元、5G相關建設編列490億元。
8月底即將掛牌的「數位發展部」,雖然由「數位政委」唐鳳領銜,但日前行政院院會後記者會,僅公布其第一年預算員額598人,其中過半數(約300人)準備以約聘方式,進用相關領域專業專才,「數位發展部」明年度公務預算規模,迄今仍未明朗。
由於「數位發展部」的成立,是為了兌現蔡英文總統競選政見,將整合行政院資安處、經濟部工業局、國發會資訊管理處、通傳會基礎設施與資通安全處,成立後短期面臨的整合陣痛期難免,加上數發部政務次長與常務次長遴選過程,有民間團體質疑唐鳳機要葉寧,過去在陸委會期間支持「服貿協議」,行政院方面則是安插蘇系子弟兵李懷仁擔任政次,讓併入數發部的相關機關人員心生疑慮,目前已傳出國發會資訊管理處公務員申請轉調其他部門情形,原本理應接任數發部資安署的行政院資安處長簡宏偉,居然選擇退休。
政府國防長期「重硬體、輕軟體」 資安人才缺口成隱憂
台灣政府與民間長期以來「重硬體、輕軟體」,在資安領域缺乏投資,這幾年面對中國資安威脅,不斷強化資安規範,例如金管會2021年底修法,明訂上市櫃公司於2022至2023年底前完成設立資安長與資安專責單位,讓整體產業一下子面臨2萬名以上的資安人才的缺口,資安界對於台灣資安破口,也憂心忡忡。
在8月上旬中國軍演之後,陽明交通大學資工系教授黃世昆就在臉書指出,「大家都知道國防很花錢,即使捐1億美金都不夠買1架戰機。可是數位國土的國防,好像1億台幣就想打發了。大家都知道要編經費買電腦設備等硬體。可是軟體系統卻不知道要編經費,只願意找工讀生或拗人幫他寫。軟體工程的教科書都說軟體比硬體更花錢。所以問題在哪裡?」
黃世昆並以去年(2021)發現微軟Exchange Server資安漏洞的DEVCORE首席資安研究員蔡政達(Orange Tsai)為例,「台灣有一個Orange團隊,打穿全世界公認最重要15個漏洞當中的7個。中國人口約60倍,照比例有60個這樣厲害的團隊,他們口袋中應該有超過7*60 這樣的武器。」「世界頂尖系統團隊品質測試人力是開發的3倍。台灣應該是不到3分之1。」
黃世昆表示,「最頂尖的軟體如 chrome、edge、office 都被打穿。台灣還只在顧網頁門面,拼命串接隱私資料,自詡e化高效。我的建議:假設所有本土軟體已被打穿,盡可能保守。能不上網就不上網。尤其是跟民主相關的措施。」
一般民眾對資安政策無感 政治人物對資安問題認知單薄
2014年縣市長選舉時,成功運用網路策略讓柯文哲在台北市興起一股白色力量的幕後功臣王景弘,今年(2022)底將代表時代力量角逐新北三蘆地區市議員席次,王景弘過去8年先後擔任行政院法律政委辦公室顧問與嘉義縣政府諮詢顧問、新北市政府青年委員,對於政府公部門的資安政策頗為熟稔,他很坦率地說:「一般人對於資訊政策是很無感的!」
王景弘表示,政府資訊政策是很底層的下水道建設,在資訊系統還沒有出包以前,一般民眾是感受不到其重要性的,即便出包,也有很多原因可以歸咎,因此,政治人物對於資訊政策的理解,只是期待一個「資訊長」解決所有資安問題,資訊長以下的數位骨幹建設,完全都是架空的。即便是《資通安全管理法》於2018年立法通過,對政府部門的資安預算有了明文保障,但過去幾年政府的資訊系統投資,仍然沿襲著過去標案分贓的模式。
然而,今年4月疫情爆發,確診者與密切接觸者「居家隔離通知書」的發送亂成一團,其背後最關鍵的,就是中央與地方的衛生與戶政系統出現了很大的問題,王景弘認為,台灣需要有人長期關注資訊政策,資訊政策是有選票的。
中國網軍駭進台鐵、超商看板 王景弘:沒顯露的才最可怕
針對這一波中國網軍攻擊,王景弘分析,這一波攻擊所看到的台鐵、統一超商看板遭駭,其實只是「冰山一角」,類似這樣的戶外電子看板攻擊,儘管擾亂民心,但從專業角度來看,「這種高調入侵,都不是太大風險,不跟你講的,才真正可怕!」高調入侵的炫耀犯,會留下入侵的軌跡,讓系統設計者可以察覺到弱點,「你某種程度上,反而要感謝這些人!」
王景弘表示,這一波中國網軍攻擊,除了民視以外,其餘的攻擊對象都只是次級系統,並非核心系統,統一超的電子看板也許有外接攝影機,這部分或許存在一般民眾被窺視的疑慮,但絕大多數民眾的臉部特徵,對駭客而言並沒有價值,這在業界被稱為「雜訊」,只有少數公眾人物,在最糟的情況下,因為中國對台灣公眾人物建立起「臉部指紋」,可能會有暴露其日常出沒軌跡的疑慮。
「資安有一個重要點,不管有沒有人打你,都不能有漏洞存在。」王景弘說,隨著網路科技產品的普及,台灣所暴露的資安風險也與日俱增,2000年網路還沒有發展起來,當時的資安風險是個位數等級,2013年有APP,網路更加普及,資安風險來到30左右,現在,就連小學生都有能力接觸程式語言,了解網路原理的人變得更多,資安要求更提高到6、70的水平。
政府部門為撙節預算 資訊部門往往第一個被砍
王景弘表示,資安是與時俱進過程,早年網路加密技術「MD5」訊息摘要演算法,在超級電腦、雲端電腦還不普及以前,算是很安全的加密技術,如今,隨著雲端電腦的普及,MD5已經是不安全的演算法,很容易被暴力破解。然而,相對於資安需求的不斷提高,台灣的政府部門過去1、20年卻因為撙節預算,不但資訊部門預算往往第一個被砍,而且很多政府資訊服務紛紛數位化,資訊系統設計大量外包。
「如今,資訊系統服務已經從早期協助人與人的溝通,進階為設備對設備的溝通,安全挑戰也變得更高。」王景弘認為,民進黨執政推動《資通安全管理法》立法,強制上市櫃公司設置資安長,對台灣資訊產業雖然是重要里程碑,但資通產業政策仍然停留在過去「科專計畫」撒錢的思維,未來即便「數位發展部」掛牌成立,恐怕還得花1、2年時間政策摸索。
王景弘批評,政府在過去幾次資安事件都是採取模糊戰的策略,以這次民視遭到中國網軍攻擊, NCC將它歸因於「分散式拒絕服務(DDoS) 攻擊」,就沒有討論到民視畫面遭挾持的攻擊,「DDoS攻擊典型特徵是網站連不上去,但絕對不包括改你的內容」。
中國網軍攻擊歸咎中資設備 政府模糊戰讓人懷疑有內鬼
至於台鐵與統一超電子看板出現「老妖婆竄訪台灣」,政府官方公布的原因,是其使用「中國製」軟體遭內建木馬程式,王景弘也予以保留,「怎麼可能所有人都用一樣的軟體?統一超商、火車站用的都是一樣,這我不相信!」況且,為何中國網軍可以用軟體連入系統,防火牆為何沒有擋到中國的IP位址?
王景弘表示,根據政府對外說法,台鐵看板是委外招標給廠商運營,並沒有連接到台鐵鐵路運營系統,鐵路服務不受影響,「這樣的資安架構,我認為OK」,但委外廣告商沒有把軟體管好,駭客透過外圍網站侵入,「我們就要問台鐵,為何給予這家公司員工透過外網連結到管理平台的權限?」
王景弘表示,過去幾次資安事件,包括政府機構使用中國製網路攝影機、無人機等,均以中資設備或中資軟體內建木馬程式結案,但台灣其實並不缺乏軟體鑑識人才,政府負責任的做法,應該是公布資安調查報告,讓所有資訊界的專業人士,知道是植入了哪一種後門軟體,「你把它講出來,讓大家一起懷疑,不是很好嗎?」僅以中資設備內建木馬程式結案,這樣的模糊戰策略,會讓人懷疑裡面有鬼。
台灣資訊系統骨幹建置易政治化 資訊專業領域不受重視
王景弘指出,資訊後門分成主動式後門和被動式後門,主動式後門就是遭植入程式的電腦,一開機就主動通知駭客方,「已經開機了可以進來了」,但因為主動式後門會在防火牆留下紀錄,容易被偵測到,所以較不普遍,多數的駭客攻擊是「被動式後門」。
「被動式後門」有些是程式設計時就留下的弱點,例如系統開發商為了日後維修方便,所設定的特殊管理者密碼,早期中華電信路由器「小烏龜」,帳號皆為「cht」,就很容易被鄰居破解蹭網。另一種「被動式後門」則是系統開發過程存在未即時修補的漏洞,業界稱為0day(零時差漏洞),包括去年引發全球資訊系統大更新的「log4j」,王景弘說,過去10年有超過5個以上0day,驚動到行政院。0day漏洞最嚴重的情況,是允許遠端執行程式碼,等於是允許駭客在上面為所欲為。
王景弘表示,台灣政府的資訊系統骨幹建置,太容易牽扯到政治,然絕大多數情況跟政治都沒有關係,只是因為政治人物對資訊系統不了解,太害怕系統出包成為政敵攻擊把柄,因此不敢做。
他舉例說,2014年九合一選舉,柯文哲陣營推動線上小額捐款,但多數政治人物卻擔心支持者資料被偷走、信用卡盜刷,等到推成功後,蔡英文2016年競選總統也推出小額捐款網站。內政部推動數位身分證(eID),整合政府服務,20年前被批評為「包山包海」,把民眾個資暴露在駭客攻擊的風險下,然而,eID的技術跟20年前完全不同,反對者還是用20年前思維反對,對於eID政策,資訊界在專業領域根本沒有機會辯論。
不能因為怕暴露風險而躊躇不前 應適度「開放資料」讓民眾參與
對於有些資訊界人士以中國網軍規模是台灣數十倍,雙方人數不成比例為由,主張台灣保障資安的做法,就是不要把民眾個資放在網路上,王景弘對這樣的主張則予以保留。
王景弘表示,台灣現在也沒有走到開放政府,開放資料跟開放政府是不同的,人民本來就可以取得具有公共利益的資料,例如垃圾車清運路線,推動「開放資料」,這些不該有國安問題。另外,讓更多人參與政府決策,或者讓政府決策時,有更多決策依據,例如都市計畫資料上網,這也無關資安、國安。
政府資安真正關鍵的,是所謂的機敏資訊,也就是《資通安全管理法》規定的八大基礎建設所收集的民眾個資,例如,醫療、戶役政、出入境資料,這些資訊也沒有在開放政府架構。上述的機敏資料中,有些雖然列入了國家型資訊戰略聚落的「個人化資料自主運用」(MyData),例如衛福部「健保e存摺」APP,但民眾的雲端病例,本來就是人民有權從國家取得的資料,雖然雲端病例開放民眾查閱,可能同時暴露風險,讓網軍入侵系統竊取資料,但從政府角度,我們就是要努力防備,不讓他們偷走。
中資設備真有資安問題?王景弘:那就把程式碼公布出來
至於民間企業的資安系統,王景弘認為,政府如果沒有能力管,就不該輕易介入,舉例來說,這次中國軍演期間戶外看板被竄改的事件,「如果現在政府要求廠商,必須使用某種取得政府資安憑證的資訊設備,但我要反問,我們如果能做到,我們前幾年在睡覺嗎?如果政府有能力管,我們前幾年為何不管?」
王景弘強調,很多資訊系統服務,是廠商自行開發服務,民間資訊系統這麼多,政府要如何找到公約數?政府規定所有廠商,必須使用政府認證的安全系統以前,必須先想好規管的標準與依據,「有些資安規範過去沒有,或許不是政府的疏失或怠惰,而是國際上根本沒有這種東西!」
王景弘表示,所謂的中資軟體,有很多層次,可能是中資設備內建軟體,或中資軟體商開發的軟體,設備層內建軟體,是比較危險的,單純的軟體資安比較好管理,因為台灣的資安專家,有能力進去檢視,中資設備如果真的像政府宣稱有資安問題,為何不由國家專業人士去鑑定,把程式碼公布出來,讓業界有所防範,這對台灣民眾而言,是很好的資訊教育,否則,根本是在打模糊戰。
【台海封鎖戰】系列報導
台海封鎖戰1》「鎖台軍演」後的國防難題:解放軍若是「只圍不打」,台灣該如何應對?
台海封鎖戰2》古巴危機、柏林空運、黑海封鎖,解放軍「強制隔離」台灣的歷史觀照
台海封鎖戰3》油、氣進不來,台灣能撐多少天不停電?戰備儲油夠安全嗎?
台海封鎖戰4》鎖台危機下如何救經濟?5大指標教戰企業未來布局
台海封鎖戰5》台灣擋得住中國網軍嗎?資安漏洞總體檢 揭政府沒說的破口
台海封鎖戰6》台灣被孤立,半導體業能撐多久?業內人士曝產業存亡3劇本
台海封鎖戰7》進口戰略藥品被斷頭怎麼辦?衛福部官員曝獨立生產3要件
台海封鎖戰8》台灣存糧能吃多久?糧食自給率僅3成 最缺的是這幾項
台海封鎖戰9》共軍圍而不打就能贏?台灣8成能源仰賴進口 海運遭堵恐先「斷氣」
