【資安即國安?解決問題必須見樹又見林】
根據媒體這週末的報導,總統府內電腦或系統遭駭。目前外界有種種假設──也許是資訊混淆和政治操作;或許涉及內部人員、或許是境外干預;無論如何,在調查尚未明朗前,我們不在此時作任何揣測。
此事件目前看來波及程度限於政治與形象上的傷害。但如果確實涉及總統府電腦或系統的侵駭,對中央政府機關最深切的警惕,是這個行為路徑不但可被執行,而且透過駭客刻意公開,政府才得知、而不得不公開回應。
政府網路系統安全,作為國家關鍵基礎設施的一環,是我在國安會研究的問題之一:那期間,我參與跨部門會議、調閱歷年紀錄、也訪問第一線政府人員及業者。
究竟有多少對國家至關重要、更機密的資訊,沒有妥善保護、已遭洩漏,只是尚未公開?我不得不沈重地說:很多。
總統或行政院長若下令檢視2016年至今所有涉及政府系統的資安事件,就會發現一個清楚的脈絡:從最高機構總統府到三級單位如氣象局,政府的資訊網絡極為脆弱,並長期遭受境外勢力大規模、系統性的侵入,包括全民健保資料庫、公文系統等等,近期更透過委外廠商取得系統權限。這些重要的資訊都是全民資產,也是政府的責任。
過去四年,當政府不斷地倡導「資安即國安」,這些攻擊未被有效阻絕,幾乎所有核心政府單位的資訊系統都曾被成功滲透;加上各機關之間都有連線,已造成的損害難以估量;然而每每發生資安事件,受害的單位往往各自尋求委外廠商個別處理,將電腦或伺服器「清理乾淨」,就結案了事;此類事件也大多在國安單位還未參與調查前,就被歸類為「非國安事件」、「非涉及核心業務」處理,並未進一步檢視系統性的威脅,甚至提出防患於未然的措施。
馬政府時期的國安會,曾經試圖面對這個問題,檢討政府資訊系統的安全設計和管理。但接連開了幾次會議之後,反倒變成「向外」檢討,例如:嚴管民間(金融、水電、交通等領域業者)的資通訊安全。過去幾年,蔡政府也延續此政策方向:行政院推動「資安管理法」,國安會研擬「國家資通安全戰略報告」,但始終沒有把重點放在政府「內部」的問題。也就是說,存放國家最機敏資料的機制,沒有被當成核心問題來面對。
所以,政務官不信任政府系統(姑且不談「不信任體制內公務員」,或許改天來討論的嚴重問題),高層的機敏訊息很多盡量不透過官方系統,甚至用個人電腦,導致現在,每個人的個人裝置(手機、筆記型電腦)都可能是破口;而且遭駭時,因為不受專責人員管控,根本難以查覺。
【法弊於積習,人樂於因循;還有多少資安未爆彈待拆?】
要確保「資訊安全」,必須顧到人員 (personnel)、系統 (network / ICT) 、實體與環境 (physical) 的安全。在各個面向,我們都看到很多長期以來所累積的結構性問題:
1️⃣ 政府內部沒有專責單位及人員負責系統安全:公務體系沒有相關的「職系」來培養專業人力;若系統出事,主要由委外的民間廠商協助「清毒」善後,或必要時行政院技術服務中心協助,但無論如何盡可能避免國安人員的涉入;各機關由非專業的副首長兼任資安官,缺乏專業背景,也難以形成專業而客觀的文官體系。
2️⃣ 政府未對使用者建立安全規範並實施安全教育:長期以來,長官只要層級夠高,便可以使用個人電腦工作及存放公務資料,形成「愈機敏的資料、管理卻可能愈不嚴謹」的奇怪現象;我們常提到的使用者「人員安全權限制度」也從未落實。
3️⃣ 政府機關之間沒有「跨部會內網」:機關各行其事,又缺乏安全的橫向溝通管道;在「內網」撰寫的資料,卻需要透過「外網」來傳遞給其他部會;彼此通訊仰賴 Line、Telegram 或 Signal,徒增資料外流的風險(而且無法追蹤、事後分析或利用)。
危機就是轉機,這次事件是勇敢面對、徹底檢討、改善政府資安、落實「資安即國安」的機會。
同時也有2部Youtube影片,追蹤數超過3萬的網紅苗博雅,也在其Youtube影片中提到,#台北運動吧 #台北市 #資安 2020年2月7日,台北市世大運粉絲專頁「台北運動吧」後台管理權限遭盜用,A片8連發。事後發現是體育局員工帳號出問題,導致此資安事件。 直到現在,體育局都沒有提出正式的行政調查檢討報告,內部也沒有進行任何懲處。 同時,我從頭到尾詳細檢視體育局委外經營粉專的合約,發...
資安事件 在 范雲 FAN, Yun Facebook 八卦
#莫讓eID成為民主防衛破口
#數位治理要以國家安全為前提
#勿讓全民個資奉送中國
#全面暫緩數位身分證政策
今天我與長期關注數位身分證eID的 台灣人權促進會 Taiwan Association for Human Rights 共同召開記者會,要求 #莫讓eID成為民主防衛破口、#全面暫緩數位身分證政策!
今天包含 愛信任-劉世芳 、 何欣純 、 洪申翰 Sun-Han 三位委員,還有來自學界的台大電機系 林宗男教授、臺北大學犯罪學研究所 沈伯洋助理教授,也都一起出席記者會,提出疑慮並共同呼籲政策暫緩。
我在今年三月就曾質詢提出eID的個資疑慮。沒想到現在內政部仍執意要推動eID政策,預計明年一月就要在澎湖、新竹市、新北市等縣市試辦、七月就要全面換發。
我最憂心的,當然還是台灣一直面臨中國的資安威脅,手法無所不用其極,日新月異,規模、頻率日益增加,包括:
❌透過政府委外廠商入侵
❌入侵政府資訊供應商
❌中資電子產品留後門
❌入侵攻擊取得非法權限
❌破壞或阻斷系統服務
❌植入惡意程式
❌違反資安政策規則
❌掃描刺探
行政院資通安全處的統計顯示,近3年來共發生 #1709件 針對政府機關的資安事件,駭客攻擊主要來自中國大陸。
中研院調查也顯示,目前數位身分證的晶片模組設計、晶片作業系統及應用程序設計、資料寫入設備生產,發包廠商都與中國政府關係曖昧,甚至疑與中國安全部門有合作關係,產生資安風險。
我們的政府未必已有防範應對的能力,貿然推動數位身分證,可能成為中國滲透的破口。這是絕對不可承受的後果!
11月2日中研院法律學研究所資訊法中心,也正式提出 #數位時代下的國民身分證與身分識別政策建議書。小組中橫跨資訊科學、法學、社會學、政治學等領域的學者,共同提出了 #三大質疑:
1⃣ 規劃中的晶片身分證將對臺灣的自由民主體制帶來立即而重大威脅。
2⃣ 現行條件下,強制發行晶片身分證欠缺合憲的法制基礎。
3⃣ 與晶片身分證同步推動的跨機關業務資料共享與整體智慧政府計畫,欠缺符合可課責性的設計與作法。
這份報告並要求在解決上述問題之前,#應立即暫緩晶片身分證之換發。今天與會的出席者,也從不同面向點出對目前政策的疑慮:
💬不只專法專責機構更要全面法規配套
💬愛沙尼亞殷鑑不遠應謹慎評估
💬面對中國威脅我們必須採用最高資安等級
💬捍衛人權的政府不應採用極權中國的數位身分證規格
💬不能讓中國竊取資料三個願望一次滿足
💬確保人民自由選擇權並保護開通者
(大家的精彩發言請點進圖片👉)
我們今天共同呼籲要求,除了應建立專法規範、全盤檢討配套法規,更應讓未來有專責機構統籌資安規範後,在確保國安及全民資安的前提下,再來評估推動身分證的數位化。
蔡總統、蘇院長都說 #資安即國安!中國滲透無孔不入,不能把全民的個資奉送給中國!
#實質監督
#提出解方
資安事件 在 范雲 FAN, Yun Facebook 八卦
#數位身分證恐成資安破口
#數位治理要以國家安全為前提
#學界呼籲勿讓全民個資被中國滲透
#修法規範前暫緩上路
#學界的三大質疑三大建議
內政部推動數位身分證eID政策,#預計2021年七月啟動全面換發作業。上週一中研院法律學研究所資訊法中心,正式提出 #數位時代下的國民身分證與身分識別政策建議書。
這個小組中橫跨資訊科學、法學、社會學、政治學等領域的學者,共同對目前內政部推動中的 #數位身分證eID,提出 #三大質疑:
1⃣規劃中的晶片身分證將 #對臺灣的自由民主體制帶來立即而重大威脅。
2⃣ 現行條件下,強制發行晶片身分證 #欠缺合憲的法制基礎。
3⃣ 與晶片身分證同步推動的跨機關業務資料共享與整體智慧政府計畫,#欠缺符合可課責性的設計與作法。
所以這份建議書提出 #三大政策建議:
1⃣建立 #身分證晶片化與數位化的法制基礎、#提供個人權利保障
2⃣立法確保晶片身分證的 #資安與國安
3⃣建立跨機關資料交換與 #智慧政府的可課責性及社會信賴
這份報告並提出總體建議:在解決上述問題之前, #應立即暫緩晶片身分證之換發。
#中國資安威脅是進行式
看到這份報告,我感到十分憂心。因為我們都知道,台灣ㄧ直面臨中國的資安威脅,其手法日新月異,規模、頻率也日益增加!
中國攻擊台灣資安手法包含 #透過政府委外廠商入侵、#入侵政府資訊供應商、#中資電子產品留後門、#入侵攻擊取得非法權限、#破壞或阻斷系統服務、#植入惡意程式、#違反資安政策規則、#掃描刺探等。
行政院資通安全處的統計顯示,近3年來共發生1709件針對政府機關的資安事件,駭客攻擊主要來自中國大陸。
雖然中央政府近5年來已花費上百億元做資安防護,不過,2019年的網路攻防實兵演練,卻顯示有六成以上的機關有資安破口!政府是否已有能力在推動身分證全面數位化的同時確保資訊安全,讓人憂心!
#數位身分證恐成資安破口
中研院這份跨領域專家政策建議書的調查顯示,目前數位身分證的 #晶片模組設計、#晶片作業系統及應用程序設計、#資料寫入設備生產 ,發包的廠商都與中國政府關係曖昧,甚至疑似與中國安全部門有合作關係,都可能有後門或共用系統元件而產生的資安風險。
建議書也提到, #數位化與晶片化增加人民被監控的風險、現行的法律包含資通安全法、電子簽章法、個資法等現行法均不足以因應數位化後帶來的風險。
蘇院長曾說 #資安等於國安,我十分認同。如果現行法制、監理都無法確保數位身分的資訊安全,等於是把全民的個資雙手捧上奉送給中國,讓我們的國家安全出現無法逆轉的大缺口!
#修法規範前暫緩上路
內政部預計明年七月啟動全面換發作業,我呼籲在 #修法規範前應暫緩上路,先充分釐清、防範上述可能的資安疑慮!
行政院籌備中的數位發展部成立後,將統籌數位治理政策,包含確保資訊安全,應可建立更全面的規範,訂定專法或在既有法規中建立專章以保障全民資安,法制保障健全後,再推動或評估身分證的數位化!
資安即國安!中國滲透無孔不入,不能把全民的個資奉送給中國!
#實質監督
#提出解方
資安事件 在 苗博雅 Youtube 的評價
#台北運動吧 #台北市 #資安
2020年2月7日,台北市世大運粉絲專頁「台北運動吧」後台管理權限遭盜用,A片8連發。事後發現是體育局員工帳號出問題,導致此資安事件。
直到現在,體育局都沒有提出正式的行政調查檢討報告,內部也沒有進行任何懲處。
同時,我從頭到尾詳細檢視體育局委外經營粉專的合約,發現沒有任何關於「資安維護」的責任條款。業者只有按讚數、互動率未達標時,才有違約罰款責任。
也就是說,如果日後再發生類似事件,若是業者出問題,體育局無法罰款解約。
我認為這樣的處理太草率。因此向體育局提出兩點要求:
1⃣️ 針對2020年2月7日深夜「台北運動吧」資安事件,進行內部行政調查。於一個月內向議會提出調查報告及檢討改進事項。
2⃣️ 體育局經營社群媒體委外案件,須於合約內註明廠商維護資安之義務,並明定違反時罰則。
----
坊間關於台北運動吧營運廠商有錯誤傳言,為保障廠商名譽,特此說明:
「翊起運動行銷」是體育局2019委外廠商
2020年1月31日起,委外廠商改為「上晴行銷」
2020年2月7日案發時,為上晴公司負責營運,但帳號保管不慎導致後台被盜用者,為體育局員工。
----
【自由】議員轟「台北運動吧」被駭貼A片沒檢討 局長:體育局也是受害者
https://news.ltn.com.tw/news/politics/breakingnews/3139565
【聯合】「台北運動吧」粉專遭駭發A片 議員要求檢討資安
https://udn.com/news/story/7323/4505463?from=udn-catelistnews_ch2
【NowNews】「台北運動吧」貼18禁連結 體育局未懲處反鼓勵遭駭同仁
https://www.nownews.com/news/20200420/4045078/
【中時】台北運動吧遭駭A片 體育局挨轟無檢討作為
https://www.chinatimes.com/realtimenews/20200420003028-260405?chdtv
——
更多問政影片,請訂閱阿苗的頻道
👉 http://www.youtube.com/c/苗博雅tw
加入苗議員Line好友
👉 https://lin.ee/fIqp8Sm
陳情意見信箱
📪 tcc10717@tcc.gov.tw
陳情服務電話
☎️ (02)2729-7708 #7046
#苗博雅問政報告
#第三勢力第一選擇
#我認真問政
#你幫忙分享
#大安文山苗博雅
資安事件 在 數位時代Official Youtube 的評價
2017年全球發生許多重大的資安事件,包括多家知名網站遭駭,用戶資料大量外洩,而惡意軟體、勒索病毒除了電腦之外,也開始入侵行動裝置。面對日新月異的網路攻擊,如何做出更好、更快的決策,提早預防並且避免威脅發生。
講者:
14:00 Radiflowe 執行長 Ilan Barda
14:40 趨勢科技全球消費市場開發總監 許育誠
15:20 WeNspire 技術長 Tal Steinherz
16:00 【焦點對談】汰舊換新,探索資料時代的機遇與挑戰
資安事件 在 【資安知識+】資安事件遍佈各大版面防止威脅入侵的五大戰略 ... 的八卦
本週【場次五】5/17 想進來?沒那麼容易!讓網路攻擊止步於防火牆的兩個秘招租賃業用戶個資外流、航空業會員個資遭勒索、上市櫃企業的網路 資安 遭受 ... ... <看更多>