时论广场》沉默的战争 资安就是国安(洪奇昌)
台铁、便利商店资讯看板遭网攻 准数位发展部长唐凤表示,正在研拟修法将公共电子看板纳管。(行政院提供)
资通讯设备与服务早已是国人日常生活的一部分,但资讯安全却也是最常被忽略的国家安全议题。裴洛西访台后中国大陆实施大规模军演,激起台湾社会对国防改革的关注;然而在看得见的硝烟之外,网路世界的两岸攻防早在国人的眼皮下行之多年。如何有效提升国家关键基础设施和资料库的「数位韧性」是国家安全重大议题。
所谓「关键基础设施」,依据2014年「国家关键基础设施安全防护指导纲要」,其中包含:能源、水资源、通讯传播、交通、金融、紧急救援与医院、政府机关、科学园区与工业区等。可想而知,通讯传播相关设施的资讯安全与数位韧性程度,高度攸关社会安危与国家安全。
以医疗院所为例,我国部分医院最迟在2020年便陆续遭受对岸的骇客入侵。已知的骇客攻击样态至少有四种:一、植入木马程式窃取或删除资料。二、恶意瘫痪资料库,造成资料库无法正常写入读取,连带影响事后资料备份与资料抢救。三、恶意变更自动投药系统,如修改化疗点滴程式,使药剂以超过医令数倍的点滴流速打入患者体内,结果恐让患者治疗产生具大改变。四、透过医院网站为跳板,入侵其他政府机关主机、资料库。
试想,若我国能源、电信、交通等基础设施受到骇客攻击,那么停电、断讯、火车对撞等事故,必将造成各种工作中断、财产减损和人员伤亡,严重破坏社会正常运行与民心安定。又或者,如果有心人士透过政府资料库或社群网路软体掌握到:民众的政治态度、金钱流向、移动轨迹,或前述自动投药系统;轻则收到不胜其扰的垃圾广告,中则陷入诈骗或假新闻威胁,重则人身安全都暴露在风险之中。
由此可见,在万物联网的时代,网路攻击虽然看不见、听不着,但却能以极低的成本,对国人和国家造成严重伤害。因此资讯安全是保障个人言论自由、财产安全、隐私权利,乃至于维持国家与社会自主性的重要防火墙。
另方面,由于裴洛西访台期间便利超商电子看板、台铁等电子看板被骇事件,以及前述医院被骇事件可以溯源至中国大陆的骇客组织,我们应认识到,不论相关网路攻击是否为中国大陆官方所为,台湾社会主要的资安威胁来自对岸,是无法回避的事实。
因此我们应理解,政府之所以在2020年12月18日颁定「全国各机关使用资通讯产品处理原则」,函令各公务机关资通讯产品(含软体、硬体及服务)「不得使用大陆厂牌」、「已使用或采购之大陆厂牌资通讯产品列册管理,且不得与公务环境介接。」实是基于中国大陆对台网路攻击日甚的事实,而非狭隘的蓝绿红政党意识形态之争。
面对资安风险,全面强化关键基础设施数位韧性,除了加强对资安设备、软体的投入外,防患于未然更是重中之重,这是政府各机关与辖下事业单位、法人的共同责任。
单位主管与采购人员办理采购案时,都应有更全面的资安与数位韧性思维:第一,扩大数位韧性涵盖范围。例如行政院于台铁电子看板被骇事件后,进一步将禁用、汰换「陆厂」资通讯产品的范围,从机关与委外厂商,扩大到机关「场域内」,如出租商场、停车场等。
第二,采购案应更谨慎采购「陆制」资通讯产品。目前政府虽已禁止采购「陆厂」产品,但「陆制」产品仍因其价格优势和商源的不可替代性而未完全禁止。然而各种应用软体,如:系统软体、APP及电脑作业系统;又或者手机、电脑、伺服器、监视器、无人机甚至印表机等具连网能力、资料处理或控制功能的硬体,都可能成为有心人士对台进行网路攻击的跳板。
有鉴于资讯战是中国大陆对台发动「三战」(舆论战、心理战、法律战)的重要媒介,公务机关办理采购案时,在规格上仍应最大程度考量「陆制」产品的资安风险,以期防患于未然。
(作者为海基会前董事长)