台灣必須從價值鏈底部開始發展資安能力,而且軍方所需的人才資源,在私營企業應該也很有用。強化資安的過程會經歷好幾個不同階段,無論哪個領域的進步,最後都有助於提升整個國家實力。
美國眾議院議長裴洛西(Nancy Patricia Pelosi)8月訪台之後,中國發動攻擊威脅台灣與盟友,它發射導彈穿越台北上空,並在台灣周圍海域進行軍事演習,但這些行動在物理上都距離台灣人民的生活相當遙遠,因此,中國也同時騷擾台灣的政府網站、銀行等各種基礎建設網絡,試圖給台灣的公民社會一個下馬威。
在不久的未來,這種「灰色地帶」攻擊大概會越來越常見,而且越來越激烈。一般來說,這類騷擾都只是因為中國看台灣的政治傾向不爽而已,並非真正要進行吞併。因為要靠灰色地帶的騷擾來協助軍事吞併,主要方法就是聲東擊西,必須一邊進行騷擾,一邊準備全面入侵。但全面入侵的兵力需求實在太大,所以資源上很可能無法持久。
當然,房間裡的人可能真的在密謀什麼東西;但至少目前為止爆出的網路攻擊,都不是真的要破壞社會或軍隊,而只是要做做樣子打擊士氣,讓台灣民眾相信中國能夠進行更多攻擊。不過,如果全面入侵變得夠划算,中國就真的會動手,所以台灣不應該繼續被動應變,而是應該利用中國騷擾的機會,來解決系統安全的問題。而且在諸多有待改善的目標當中,資安是很有賺頭的領域。只是在實際發展資安之前,台灣得先決定自己要解決什麼問題。
從程式的寫法開始
當然,這說得簡單,做起來難。在網路時代,「資安」幾乎涵蓋了世界上的所有層面。一般人討論資安的時候,通常都想抄捷徑,於是把手段跟目標混為一談,談起防治網路釣魚或者保護個資等。而且資安層面真的太廣,所以要真正找出重點,也許直接扔掉這個詞,從其他地方開始,反而比較實在。
不懂程式的人談到資安,都很容易想到演算法。演算法的確是計算機科學的核心;是軟體公司徵才時要求的基本能力;而且演算法和資安,在密碼學上也有很多重疊之處。但現實中的資安破口,大概都離演算法十萬八千里。
要了解這件事,我們可以看看程式語言在歷史上究竟如何發展。在計算機科學的演進中,安全變得越來越重要。在第一隻電腦病毒出現的5年之後,Python在1991年問世。它的設計理念是「與其事先報備,不如事後道歉」(Better to ask for forgiveness than permission),試圖解決C語言這類老舊程式語言既難用又不安全的問題。當然,在Python越來越普及之後,這種設計理念的缺陷也越來越明顯,而且只要有點法律背景的人,大概都可以一眼看出問題在哪裡。
近年來出現了一些程式語言以相反的理念設計,其中一個最近很紅,叫作Rust。在Rust的設計觀念中,最重要的一項就是防錯管理(Error Management),而要管理的「錯誤」,其實就是那些不是寫給機器跑,而是寫給設計師、其他部門的人,甚至終端使用者看的註解字串。 (相關報導: 唐鳳專欄:數位發展部,打造最好的時代 | 更多文章 )
光看這個例子應該就知道,軟體開發過程中有很多問題都不只是程式問題,而是組織管理的問題。所以即使你完全不懂程式,也不用對資安問題退避三舍,並且可以從這些層面去檢查使用與管理軟體的方式會產生哪些安全漏洞。
