Online to offline here since 2002
時間為11月11日和12日兩天,地點是台北中華電信總公司。
應朋友之邀,主持第一天上午的一場,題目是:網路主權:政治、經濟至安全,內容請詳說明。摘要……
自中國於烏鎮舉辦世界互聯網大會,至今已第六屆,其網路主權之論述從擴大掌握資通訊關鍵設施,到提 倡建立「網絡空間人類命運共同體」,其網路主權論述不斷演進,且持續於國際空間推動、落實。主權概念在國際關係理論已有許多討論,並有政治、經濟與安全等不同面向,然而台灣對於延伸至網路空間之 「數位國土」,以及與單一網路(one Internet)概念之競合,暫未見較深入之探討。本次研討希望能由主權概念始,就既有案例討論其於網路空間的政治、經濟與安全意涵。
精彩可期,歡迎闔家來現場交流。現場有很多不同領域的高手。除了老生面孔之外,這更是少數能有機會認識在不同地方貢獻己力的生力軍場合。
昨天下午抽空去一趟台灣的「時代力量」所舉辦的座談。這還是我這一輩子第一次參加時代力量的活動,但這主題並不陌生,談的是外媒以台灣作為據點的各種考量。主辦單位找了老中青三代的媒體人,主要是美籍和澳籍的與談人。細節是什麼不是本篇重點,我就不用多說了。
過去我和外國媒體記者打交道的經驗,雖非工作正務,但也不在少數。今年四、五月拜「肺炎之賜」,也接受了幾個外媒的訪問,談的主要是科技防疫和人權議題,但和這些記者們更多是保持長期的朋友關係。我大概八年前曾到英國衛報 (Guardian) 總部演講,後來也擔任過《天下》雜誌的顧問,和殷允芃創辦人聊過幾次,協助他們建立某個團隊。殷本人是外媒記者出身(很多人可能不知道的 UPI),因此算起來對這個圈子比較認真看待,可說是自2012年開始。至於國內的媒體圈子,大概可追溯至2004年,當時聽說部落格很紅,因此接觸記者的機會非常之多。
說這些背景的原因是表示,我看這些事是有本的,不是敲起鍵盤來就幻想一通。如果你問我怎麼看這議題,我會說,先起一個概念上的「框架」來看這件事,會看得比較清楚。這當然沒有學術上的精確程度,只是為了方便後續的討論。
首先我們可以先以媒體的「組織特性」來看待,同樣是外媒,大概可以分為幾種,我們只舉台灣大眾稍微熟悉的例子。
看到這裡,聰明的讀者一定會發現,怎麼分都不太對。沒錯!這點其實說明了,從媒體本身的資本和商業構成型態,或許更能貼切的描述這個外媒到底如何分類。因為同樣是外國媒體,但媒體本身的財力、新聞產品和營運模式的差異度,可說是非常之大。要清楚描述這部分實在是太花時間了,我經驗不足,交給傳播學界的朋友研究。
第二點是比較特別的,在問「台灣能否成為外國媒體的新聞自由避風港」之前,還有另外一個因素要看,就是記者本身入行的經歷。我用四個時代來分:
來自這四個非常不同時代的記者所受過的訓練,所習慣的採編寫流程,還有對於台灣和東亞的認識,是完全不一樣的。有些熟知台灣歷史,一路陪伴著台灣「走過來」。這歷史感的親身體驗,是後進者很難從書上揣摩的。這些經歷會有助培養重新「回到台灣」駐點的期待。不過這樣的記者通常有點歷練,也知道台灣政府過去對待外籍記者的態度。他們若要專入一個領域寫通常會寫的很好,只是多半年事已高,不一定還留在這個領域。1991年25歲的,現在大概是54歲,正是文筆最犀利的時候。但時代是2020年,他們面臨的挑戰和後面兩個世代的記者不盡相同。
冷戰結束後到2010年之間開始從事新聞工作,現在想再來台灣的,多半對台灣也有一定程度的瞭解。這一群記者大概體會過台灣慢慢從區域到世界新聞圈子消失的年代,比如說陳水扁時期成立的台北外籍記者俱樂部,中間凋零到難以自保的窘境都看在眼裡。這時候中國崛起,所有世界的關注度都往中國跑,要不在北上廣深,要不就在香港,台北完全不在考量之內,除了總統大選期間入境的觀察團,偶爾可見提升台灣關注度的熱潮。
當然,這裏沒有提到專業媒體,如半導體、電子業、自行車業,甚至是軍事領域等。這些領域的外籍記者和一般新聞媒體有不小的差異,他們絕大多數也是冷戰結束後才開始頻繁的出入台灣。
第三個是社群媒體普及後才入行者,第四個是因為美中貿易戰在香港或是中國境內被威脅後,才考慮台北作為一個區域據點可能性的這一批記者。由於這時間點離現在很近,想必各位也都有所耳聞。我這邊只是要說,同樣是要吸引外籍媒體,由於願意考慮來台灣記者的經驗如此不同,對於台灣作為區域據點是否可行的評估,也會相當不同。
只要有跨境營運經驗的都能體會到,即使是在現階段,台灣對想常駐的外籍人士而言,並沒有提供完整度高的誘因。這誘因不單只是新聞自由度保障,或是記者人身安全這層面的誘因,還有更多屬於媒體組織立案、政府資訊完整度、工作權、稅籍、生活等林林種種的問題。如同座談會中所提,即使因為美中貿易戰(or 冷戰2.0),台灣「僥倖」得到了關注,但說要到成為區域的新聞中心,著實還有非常多細膩的工作要做,尤其是在政府單位這一段。撇開要吸引什麼樣的外國媒體,就連駐台開疆闢土的外籍記者本身經歷,如上段篇幅所述,也會有不同的接引之道。你對資本額上百億台幣的媒體所談的和有正規編制的新媒體,絕對是不一樣的,而五十多歲的新聞老手和剛念完港大跑到台灣來的,工作所需的企業支持、政府支援和社會資本的接取樣態,也是不同的。
不管鬥嘴的那一方都有認識的親朋好友,但一來在下不是軍事菁英,二來也不是國防改革者,三來更非官府人士或是列入教召的對象(原因:已退很久)。常備、後備制度怎麼轉圜,也都和我沒有直接關係。
不過既然威脅形態的「想定」提高到「全民國防」的層次,而軍事精英和改革者們又一直喊著這是「全民」的事,這時我就好奇了,我「一介平民」的,好好的把高堂小孩家庭顧好,就已經是超級高標,還要有「防衛意識」甚至是「保衛決心」,這會不會太過於,沈重?
如果只是嘴巴講講鍵盤打打是不會多沈重,看看「軍狂發言」還是「智庫鬥法」也不花什麼時間,甚至查查《全民防衛動員準備演習民力徵用實施辦法》《釋字第517號》《結合民防及全民防衛動員準備體系執行災害整備及應變實施辦法》也很容易。但是家裏巷子路口發生車禍高喊「阿娘喴」,我要打給119。樓下有人酒醉裝瘋揮刀,我要打給110。遇到家暴奪門而出要打113,武界林道迷路眼看天色已暗人出不來要打112。想來想去我好脆弱,連保護自己的能力都沒有,只能依賴手上這支手機 call out for help。很多人搞不好連要打119或是110都搞不清楚,可能只會傳 LINE 私訊或是上臉書求救。
若我在捷運遇到一件隨機的無差別攻擊事件,我還真不知道要怎麼辦。要逃?要擋?要救人?要擊斃對方?如果攻擊者持有半自動武器,那我要怎麼辦?空手奪白刃?駭客任務下腰躲子彈?
喝杯冷水,醒醒吧。
我是親手救過人,徒手救過溺水者的,我知道要把人「安全」的帶離「開放水域」有多麼的困難。我也是用「筆」真的救過人的(好吧,是利用電腦打字),那已經是二十多年前的事。我是經歷過1999年921大地震的,老家就在埔里,鄰居和同學死了幾個,知道什麼叫做「天地不仁以萬物為芻狗」。我是參加過2009年「莫拉克網路救災」義舉的,知道警政、消防、醫療和社福體系在大規模災難會遇到什麼問題,而資訊系統會如何崩潰,災情資訊的稀缺和氾濫,分別會造成什麼不同型態的集體恐慌,然後給指揮和管制 (command and control) 造成巨大的公關壓力。
我是有外籍朋友過去曾長期待在阿富汗、喬治亞等備受戰火和武裝勢力摧殘的國家,所以我問得到一些經驗,我還有在瑞士、以色列服役過的男性女性朋友,要問他們的真實受訓經驗,也比一般台灣的朋友來得更有管道。但鄉親啊,那都是其他國家的經驗。台灣北部潮濕,都會化程度高,人口超密集。大家都有山,但山的樣子就是不一樣。要躲到山裡?台灣很多蚊蟲啊!
我雖然不是教召的對象,但身強體健,機動力遠遠高於同齡男子。若遇到「騷擾」,要逃跑絕對九成九沒問題。但要集結「防衛」,我就不知道了。你問我若我遇到「非軍事等級」的騷擾,我可能還可以拿掃帚椅子對幹。你問我若遇到了「準軍事等級」的侵害,我就只能用盡全力保護家小弱者的安全。你問我若遇到了「軍事等級」的無差別攻擊,救不了自己,就救家人。你問我若遇到了「軍事等級」的直接精準攻擊,那我跟你說,我也和妳(你)一樣,大概只能祈禱下輩子再來相會。
但講了這麼多的「我」,這裡只是要強調,「我」是「全民國防」的原點,原點不是「國」,是每一個「我」,每一個「個人」。而個體的狀態、狀況,其所處的社區社群差異度太大。男女老少,幼童耆老,貴族世家,流鶯街友,根本不是畫出幾個「族群」就能交代的。已經到了21世紀,若還是口口聲聲用「全民」涵攝「動員」「防衛」的討論,而談不出更細緻、更精確,更體現「個人」層次的意識流,那這在實務上是相當不負責任的。談這個東西,態度要嚴肅,軍事菁英要知道現實,要更能自我面對現實。
有些人說得好,這不單是國防部的事,也不是國安會的事。但想來想去,這怎麼都不會是「全民」要想的事,在武漢肺炎的威脅之下,顧好自己都來不及的勞工不知有多少,我還哪有「美國時間」跟你這些手握各種資源的菁英,去談那些更具侵略性的「想定」「推定」?
所以我說,「全民國防」真的還不是全民的事。可能我在心裡建設上要下功夫,在心防上要做什麼準備。這些能說得通,但通了,還有其他很多步要走。
這是前一陣子受人之託所參加的論壇的心得:投資歐盟論壇EU Investment Forum 2020
論壇由工研院執行,而當日上午,蔡英文總統、吳釗燮部長(外交)和王美花部長(經濟)也蒞臨致詞。15個駐台的歐盟會員國也都派員出席。在主論壇場次之外,另有一類似商展的集合區域,供投資人和有意者洽詢。有幾個歐盟會員國的代表處工作人員是多年舊識,我也利用機會詢問他們的感受。
此活動總統和外交部長出席,執行單位其實是工研院 (ITRI)。總統和外交部長出席並且談台灣和歐盟談 BTA 的意願,戰略層級很高,但執行面未盡理想。我所參加的 ICT 論壇場次,照理說應該是重頭戲,場地可容納180人,但出席人數僅四十多人(包含各國商務代表),可說是稀疏零落。蒞場的幾位他國辦事處代表,其口條和演說內容,水平遠遠高出台灣對應的講者不少。台灣方面的主持人和講者,細膩度不足,言談魯直不修邊幅,呈現的是製造業供應鏈世代所非常欠缺國際場合的素養。
整場觀之,雖說是「歐盟投資論壇」,但其實仍屬於「通識」水平的介紹。
類似的商展結合論壇的活動型態,在台灣可說是天天有之。不過都拉抬到這個層級了,在策展、執行和規劃部分,顯然是吸引不到洽詢投資業務的圈子,反而有種「秀場」和透過公法人持續創造「假性需求」的不祥之感。我們當然欣喜各國的代表也表示這次跨大舉行乃是在台灣的首次,不過整個論壇離實際需求面的營造,顯然還有非常大的距離。這距離對於只在媒體報導看熱鬧的人而言是不存在的,但對於認真找尋和歐洲發展出非傳統供應鏈上下游關係的公司而言,公法人的角色,一直是很有爭議的。
會場的樓下也有 ITRI 的 ICT TechDay,當日是爆滿的狀況。人流沒有上來到歐盟投資論壇。我參加的這場以資通訊為名的論壇,眼看主持人在會後詢問嘉賓是否有問題,會場一片安靜,各個面有難色。我和另外一自稱是美籍的投資人,就問了現場唯一的兩個問題。
或許投資論壇還是不適合和商展混在一起,沒有針對性的活動,反而讓歐盟投資論壇活動,只是另外一場效益不高但側重於媒體和公共關係的活動。專心辦一個主題 (theme) 都可以辦得很好,混合的想把好幾個東西省成本辦在一起,那就是效益不彰。
捷克受惠兩週前的國會拜訪團,所以攤位關注度高。但工作人員私下表白說,下一步也不知道要如何走。我想這是個可以預見的警訊。捷克這次準備很詳細的招商文件,有些看來是過去沒在台灣拿出來的好物。我性好閱讀,所以在聊了幾個城市的現況之後,也拿走了些文件。
歐盟各國政府在因應 COVID-19 有些 digital transformation 的大型計畫,台灣可考慮趁隙切入(因為是剛性需求)。這些剛需不一定直接和 5G 有關,但一定和數位有關。我判斷應該能作為鋪陳台灣和歐洲這些國家在未來5G 合作的默契和互相信賴(以及磨合)的標的。不過,我們貿易和招商現在應該就要搞清楚那些 stimulus pakcage 是什麼,有些歐洲大國的刺激方案規模龐大,好好研究,或許能打開台歐合作太側重於傳統供應鏈轉移的勢頭。
瑞典的 ICT sector 和其他的 industrial sectors 結合得非常好,所以他們是人均獨角獸新創公司(十億美元)最成功的國家(高於美國)。這個 ICT 產業的結構和有些以加工出口為導向的國家非常不一樣(對,就是在說台灣)。我和瑞典的商務代表針對他在台不到一年的經驗也做了些交流,希望他不要太早「看穿」這些假性需求的場合,還是要努力愉快的參加。
會後,謝謝比利時的啤酒,以及來自盧森堡的訊息。
很少有一個部會的籌備如此隱密,隱密到如建置情報機關,也很少有一個部會的籌備,到現在連「願景」都眾說紛紜。即便是2010年行政院的組織改造,也未嘗見到如此隱密之情事。
關心的人,並不在少數。
相較於其他部會的業務範疇,從去年底開始,「報載」的「數位發展部會」行政職能、被期待的業務範疇和控幅 (span of control),其跨度廣、變動高,且「科技冷戰」 如火如荼。將此因素納入影響部會運作的大環境條件,顯然是不能規避的。照常理來說,籌備過程,本該更為開放討論,吸引利益攸關者和國民共商其事。不過像我們這種二十年的「菜鳥」都搞不清楚,更何況是更菜的利益攸關者,也就是那些只要一天沒有數位服務,在生活,在工作可能都會遇到問題的中小企業。
台灣的「自由時報」在日前辦理了一場座談會,我這時才恍然大悟。原來本體思路偏向是:「數位工業局」和「數位加工出口管理處」,只是時代往前跳轉了50年。(編按:1970年2月25日,經濟部工業局成立)
不過在個人的經驗當,有些原則在部會的籌備階段不妨考慮,以免父子騎驢,掛一漏萬。部會還沒誕生,就像「海洋部」一樣好事多磨。
由於台灣政務官的職涯訓練和背景,多半和現代數位經濟生態的關係薄弱,對於一輩子還沒有機會出過國的朋友,你要讓他在腦袋裡產生里約、巴黎、倫敦、米蘭、約翰尼斯堡、新加坡和上海的城市印象,大概只能藉由很多影視娛樂手法達成。同樣的,一天24小時生活型態和數位經濟幾乎勾不著邊的政務官,自然摸不清楚為什麼 TikTok 是藉由什麼手法在歐洲達到吸引一億名使用者帳戶的驚奇之旅。期待所有人數位生活經驗豐富是不切實際的,但要得其門而入,總要有一些可以「普及」「普惠」認知和知識的方法。
台灣在「數位經濟」並非小國(如手遊 ARPU/ARPPU),在許多非傳統台灣主計系統的統計框架,早就可以歸類為中大型的經濟體。哪些表現水位高於鄰國的數據,要內化成為部會的基線認知 (baseline understanding),因為這對於正確的了解自己的水平會有意想不到的幫助。
承上,台灣哪些在數位經濟的統計框架、指數或是指標,屬於真空狀態,這點要盡快分配資源去找出來,因為有些部分你以為自己表現得非常好,但其實丟到國際場域完全是不及格的狀態。
在籌備「數位發展部會」的階段,行政院和其他四院的討論樣態,就暴露出這個未來的部會有沒有能力處理跨境跨部門課題的作業習慣。這就像是說要組個奧運代表隊,已經說了一年多,但平常就不怎麼練習也不敢讓不同單項運動的教練團和選手之間互相觀摩,你說你最後要代表國家在奧運拿幾面獎牌,那都是沒有根據的「想望」。
由於數位領域實在太大,沒有人敢說自己什麼都懂。由一個人在籌備階段來作為代表人,在最後一定會掉東掉西。有些資本密集的數位領域看來只是產業發展課題,但最後發現竟然還有…
…… 等國家安全考量、貿易談判機制、貿易協作機制的嚴峻課題。台歐之間早有往來的業者,專業各有不同,會遇到的經商問題也落在不同層面。而他們其實是第一線經社脈動的「感知網絡」,理應在籌備階段有更積極的角色。此外,再加上美中歐「三強」對數位經濟儼然已發展出不同政策路徑時,只要有一個主要因素在籌備階段被「脫隊」,之後都很難拉起來到足夠的高度和強度。
在數位經濟的領域,生存議題和發展議題要面對的急迫性不同,例如最近這五天多家台灣主機託管商所遭受的 DDoS 網路攻擊,雖然媒體報導極少,但為數龐大的中小企業都是這些主機商的客戶。只要主機商遭受的針對性的攻擊,那麼提供數位服務的基礎環境就不穩固。很多中小企業都遇到了服務障礙的情況,到昨天 (9/27) 晚上還有主機託管商仍持續遭受到攻擊。你不能要求大家都直接去使用 Google GCP, Mircrosft Azure, Amazon AWS 等美國主要的雲端運算服務。那麼這個因為多種因素所導致的大規模障礙,原本可能不在院本部網路安全政策的優先想定。既然已經發生,未來還可以「期待」,此時數位部會的籌備,是否要把這項議題有層次的列入某種順序列?
什麼是數位經濟的重要生存課題?哪些是台灣政府可以單方面努力就能達成目的?哪些需要和跨境的管理機制、監理機構協力合作,才能確保風險之降低?這些棘手的跨境課題,目前影響台灣甚巨者是哪些?哪些是秉持著「數位工業局」的本體思路辦得到的?那些具有重要生存「戰略級別意義」的「業務項目」,目前是放在其他部會的?又,哪些極為重要不能台灣獨自處理的問題,現在是沒有一個部會有這個業務項目?
商業體系和國家意志可以扮演角色的「發展議題」,這一年來討論的不少,這邊就不多加贅述。唯一的考量可能是,國家的角色進來會有什麼 trade off?是國家的指導效力將更為強勁,還是國家會出錯力,反而變成最大的經商風險?
這部分也相當複雜,我們改天再交流。
「一打網站就掛」,是台灣中小企業數位轉型不可說的痛。
這幾天台灣「網路空間」比較大的事,大概就是這件事了:
我看到這件事被公開討論主要來自於三個途徑:一是主機託管商本身的公告,二是受害中小企業的公告,三是常態性的網路監測服務。為什麼說這件事情對於台灣中小企業的「數位轉型」是當頭棒喝?其實這也不難看出,由於時間點的巧合,台灣蓬勃發展的路跑運動,最大的三場路跑賽事,剛好都在本次網路攻擊發生時受到營運阻斷的影響。
台灣目前靠著路跑和運動服務「吃穿」的產業人口不在少數,我們舉個數字來看,疫情緩和之後,一個週末通常在台台各地有三到八場的比賽在「同一個週末」進行,在正常的年頭,台灣一年有四五百場路跑活動是稀鬆平常的。報名參加路跑的人數不少,而支撐一場路跑的籌備執行到收尾,從單純的專業認證、丈量服務、活動設計製作贈品物流到交管維安、醫療後勤等,需要不少產業的通力合作。「路跑」所帶來的經濟和社會效益非常廣大,也是台灣目前相較於其他國家還能「安全進行」的產業型態之一。
很巧的是,在9月20日到22日之間,三大路跑(過去加起來報名人數約接近八、九萬人參賽者),全部都遇到了報名系統障礙,無法立即排除的窘境。三大賽事的服務障礙狀況不盡相同,但全部都延後了原本所預定的賽事時程。這三大路跑賽事我都是參賽者,一開始並沒有聯想到是否存在主辦單位所選擇的主機託管商被網路攻擊,連帶打掛一票人等的可能性。然而透過專家訊息網絡,不少業界人士很快的就知道此事並不單純。雖說大概不是首度台灣的主機託管服務商遭受攻擊,但卻是近來影響層面比較「有感」的案例。
所有的路跑活動都是透過「網路」「網站」提供 (a) 賽事資訊 (b) 報名管道 (c) 繳費訊息。這些都不能靠社交服務(如 Facebook)完成。因此,主辦單位的網站和對外的資訊系統是否能順利地接受「查詢」「搶票」「繳費」「確認」的行為,就成了路跑活動能否順利舉辦最繞不過去的一環。不過,由於台灣的運動產業和網路服務的結合,仍停留在比較「原始」的狀態,意思就是絕大多數即使是 IAAF 認證的銀標、銅標賽事,其提供的網路服務,也沒有達到應有的營運水平。更遑論一些以政治公益、健康參與等級別的小型路跑賽事,常常是一頁 web page 就搞定,服務流程簡直是不忍卒睹。「能用人擋」和多一點義工來解決,就用人手來解決。
絕大多數的台灣賽事主辦單位,選擇的都是本地的主機託管服務商,這有其歷史因素,但這也更明顯地暴露出在「數位轉型」的夢想之前,商務網路服務的基礎建設環境,並沒有想像的穩健,甚至是一打就垮,要打就打託管商,一次可以打掛幾萬家企業。
這次 DDoS 攻擊暴露出的問題有許多層面,有些屬於企業之間的聯防協定和默契層面,有些屬於產業體質和業務慣性的侷限,有些則是是否在法規上能促成達到更快、更明晰的網路攻擊防禦機制,有些則是到了美國所倡議的「5G 乾淨網絡」層面。
這或許是務實的「數位發展部會」所應該面對的?
這件事很大條,而且對台灣有影響。你會好奇說,不就是兩個 app 從兩個主要的 app 市集「下架」而已,怎麼會影響到台灣?這時候就要訴諸原文和經驗,很快的針對商務部的禁令原文來研析。
9月20日生效的有兩點,第一點是 WeChat 和 TikTok 的 mobile app 要從 app 市集的美國區域下架,這一點很好理解,影響的會是誰?例如:
對商業領域來說,你只要想想公司內部只剩兩天要判斷、處理、開發、轉移和度過此等商業風險,規模越大的會越頭痛,尤其是下週一開始辦公的時間。
第二點是,任何透過微信支付體系處理付款、金流和金融服務的服務,全部都在禁止之列。這點影響很大。雖然微信支付不若支付寶有名,但影響的人數也在上億等級。美國境內的使用者不知有多少,但合理推斷是千萬之譜。不過別忘了,這不是只單方面影響美國境內的使用者而已。美國境內透過微信支付所進行的金融服務,在境內和跨境的影響人數肯定多於一千萬。禁止下載微信 app,大家還可以繞道其他通訊軟體服務,但「支付」和「轉帳」這件事可是牽涉到錢,能繞的路不多,錢動不了是會引起慌亂的。上千萬人的慌亂最後會如何影響心理然後蔓延到傳統金融的消費行為,這點可不能小覷。
此外,針對 WeChat 在9月20日禁令生效的還有四點,這四點更是關鍵:
白話來說就是「封的很死」「點穴點到要害」。雖然看起來只是「下架」,但針對主流型態「規避」網路「邊境管制作為」的模式,都可包含在這四點之內。
這四點也同樣對 TikTok 適用,不過被推到11月12日才生效。
或許你還是會問,這和台灣境內的使用者有什麼關係?不就是隔山觀虎鬥而已?有趣的是,網路服務很多是跨境的,我們還不是很精確的知道 (a) 台灣境內的 WeChat 活躍用戶有多少 (b) 哪些即使在台灣,也會立刻被禁令影響和干擾到使用者體驗。因為:
美國境內的服務商必須在兩天內面臨禁令生效的壓力,為了因應此風險,不少業者在針對業務服務提早解約時,必定會「顧此失彼」。有些可能因為時間和資源的壓力,必須忍痛斷掉過去在全球部署服務微信的各項業務。這麼一來你是不是在美國境內就沒有差了,因為你還是會被影響到。
美國商務部手上應該已經有很清楚哪些該「自我了斷」的主要服務商名單,這份名單的準備,需要花費時間和資源,但對台灣整體社會而言,我們或許要有多點想像和敏捷研析的能力,即時判斷這件事就要發生了,對於我們的具體影響是什麼。哪些是已知的,哪些是已知還不知的,但要多加努力研究的。
最後,各國的數位政策制定者通常會「互相觀摩」,加之台美關係在本國的媒體上「如膠似漆」,台灣的政府近期會如何看待此事,也是值得關注之事。
看更多:TikTok 看門道
台灣的調查局 #MJIB 和美國 @FBI 號稱「聯手」破大案是沒錯,不過六萬名「受害者」含冤未雪也不知道是誰。
是美國司法部聯邦調查局所公開起訴報告說的:
受害者來自不少國家,當然也包含了台灣的能源公司(應該是中油)。但起訴書提到一所台灣的研究型大學也是受害者之列,這點倒是沒有什麼進一步的討論。
研究型的大學在台灣並不多,能有「六萬多名」更是屈指可數。這件事可以給我們一些對於台灣「非傳統安全」現況有著比較貼近事實的討論:
當然,相較於台灣,美國司法部這種跨國網路駭侵犯罪的起訴內文,細節清楚很多,但更細緻的受害細節從公開管道還是看不到,因此以上只是推估。台灣政府沒有專責的個資機關,網路緊急應變中心和司法單位針對此案公開發言希望可以期待。破案歸破案,但大學的「受害者」是?
我們目前可以確定的是:
以上簡述。
主要是這件事,今天在松菸有場發佈活動。幾點看法:
(一)此場合是一系列美方拉抬台灣(或是台灣拉著美方)的動作之一,有所上手之繼承和下手之鋪陳。一來是《布拉格提案》已在美方、歐盟、北大西洋公約組織等國之間起了個頭,但類似的「倡議」「宣言」「準則」等一向為台灣政府束之高閣偶爾遇其事才拿來膜拜祭旗,絲毫沒有進入國內政策討論的空間。根據過去經驗,若不是有非營利組織多方長期遊說,國際發生什麼事到台灣一概都不會有什麼事發生。但在「科技冷戰」領域如5G,戰在火上已燒屁股,台灣非營利組織顯然是沒有角色的,所以能說上嘴的全部是政府概念股蜂擁而上。這由本次出席人士名單即可得知。
(二)美方在兩週前才由國務卿 Pompeo 再度前往捷克遊說,加強排除以中國為首之不安全的科技生態圈和供應鏈。對台灣而言,美方作業形式和節奏,還是有可學之處,這點我們從AIT發布的訊息和文字即可得知。反倒是台灣政府代表說得很多,但訴諸正式文字可考著實在太少。完整文字不知如何取得,還要利益相關者東找西找從媒體節錄吉光片羽,政策說帖沒有官方文字落定,多偏新聞花絮,只能說台灣的文官訓練在數位時代還有很多基本功夫應該加強。
(三)通傳會在此場合的態度也很強勢,通傳會對於資訊安全政策的指導地位顯然被拉得很高。未來所謂的5G「安全」「信任」確保是否都將由通傳會統一協調,這點可多做了解。政策各機關自身安全範疇出包的案例不少,而在資訊安全領域出嚴重大包得更多。由政府來主導政策統合和資源分配甚至是到下游的資訊安全確保,台灣的電信業者想必已有深切體認,屆時可能要「送檢」不少東西。此等台美之間合作經驗對於其他簽署《布拉格提案》的各國各方是否有學習價值,也要列入觀察目標。
(四)在宣言內提到了:「為推動5G生態系統的健全和蓬勃發展,在審慎評估時應將法治、安全環境、供應商道德規範、供應商是否遵守安全標準與業界最佳實務等納入考量」。「供應商道德規範」在台灣的電信和網路業界,可能絕大多數還不知道要如何上手評估進入實務、工作準則和管理技術範疇,這部分實屬有趣的範疇。
其他觀察,就待有機會再聊了。小結以上。
先說結論,答案是還沒有。
聊天的時候,朋友提到最近捷克有以參訪團名義來臺灣的這件事,我說差點忘記這件事。但捷克和台灣有什麼淵源?想必這是人人心中的問號。我們不假它問,就先從自身想起。我回憶起小時候對捷克的印象就是:運動。
第一個是網球鐵娘子 Martina,她生於捷克布拉格,後來轉籍美國。她大概是那個年代和西德的 Steffi Graf 互分軒輊,最為人所津津樂道的網球選手。但比較特別的是,女子網球在那年代仍被要求要穿得非常「優雅得體」,這也是我對這貴族般的運動比較無法理解之處。Martina 短髮強悍,中性味十足,有很典型東歐女子運動選手的狠勁。她是我第一個「認識」的捷克人,很可惜我不打網球,對她的表現也就僅止於觀賞。
第二個是標槍世界紀錄的保持人 Jan Zelezny。他所保持的個人最佳紀錄,目前仍然是無人能及的世界紀錄 WR 98.48 m (1996)。他的身材並不突出 (1.86m),但出槍速度和協調度堪稱前無古人。聽他擲槍刷出畫過天際的聲音,完全是瞬時奔放的快感,帥到滿點。全世界至今為止能投出90米以上成績者只有20人(彩蛋:不要忘記台灣有鄭兆村,他是這20人的其中一人)。他一人在生涯中的超過90米的次數就多於50次。田徑項目很少有人能如此強大的「宰制」一個單項的表現,Jan Zelezny 可算是其中一員。我記得他有一陣子是洛桑奧委會的執委,近年來也訓練一些捷克和其他國家的標槍選手,可說是捷克的「國寶」級人物之一。
長大後發現捷克在十項運動也出了一位世界紀錄保持人(前)Roman Sebrle,他也是第一個現在計分標準突破9000分的男子運動員,被列入史冊。練十項運動的都是男人中的男人(笑),每一個能創世界紀錄的,顯然也不是「正常」的人。
如果你是中長跑愛好者,那麼你會知道 Emil Zátopek。他是唯一一位在同一屆奧運贏得5000米、一萬米和馬拉松的選手,而且那還是他第一場馬拉松。
接下來就是大家都熟悉的布拉格、城堡等捷克以觀光和旅遊聞名的據點。郭台銘買了城堡給夫人也算是一件大事。捷克莫名其妙的有很多城堡,但城堡看雖好看,維護並不便宜。有一個比較特別的是 Brno 這個城市,長期對於摩托車運動關注的朋友們絕對不會不知道 Brno 賽道。拜這條賽道之賜,也讓很多在 Skoda 品牌還沒進到台灣之前的朋友們開始好奇,到底是什麼樣的一個國家才能支持一個高水平,能讓 MotoGP 跑的賽道。台灣是一條都沒有,所以在這一點要尊敬一下過去有軍工和汽車工業歷史的捷克。
捷克的玻璃水晶工藝也是生活的印象。我記得年少不懂事買過幾個玻璃飾品,講不出在哪好看,但擺起來就是好看,後來都送人了。
時間快轉到昨天,美國國務卿 Pompeo 在捷克參議院的演說,談的事情就和我們的生活經驗離得比較遠。首先他自陳在柏林圍橋倒榻之前曾在美軍於西德的駐軍服役,因此對於美國在歐洲戰後扮演起維護西方自由的歷史,相當熟悉。這一點你從他的談話之前看得出來。言談之間,他是把個人經驗是放在裡面的,談得很流暢。幾個台灣社會完全無感的事件信手捻來,不用看稿。後面的議員表情嘖嘖稱道。Pompeo 談的理路頗清楚,但他一直提到「台灣」,這讓我在遠端看來有點尷尬。
捷克在冷戰的經驗,至少在目前不太需要完全依附於「蘇聯」的陰影來彰顯其重要性。我相信很多人和我一樣,對於捷克這一段的歷史也是矇矇懂懂,更不可能有親身經驗。蘇聯和前東德的共產集團 bloc 雖然是捷克歷史上不可承受的痛,但捷克顯然早已脫離「需要蘇聯的存在來證明自己存在」的階段。你也可以說這和台灣的狀況比較不甚公平。捷克的現代官僚並沒有被國際孤立,也沒有經歷過長期的「加拉巴哥化」,但台灣的官僚和社會氛圍卻是如此。台灣終於有機會「出門」就要抓著其他人講自己的故事,這點大概是捷克社會目前無法體會的。捷克之所以是捷克是不證自明的,台灣之所以是台灣是因為有中國(的陰影),有香港(的映照),有美國(的應對),有其他無數加諸於之上的標籤。這讓八月底捷克參訪團來台的意義被灌滿了… 無止盡的期待。我相信這等強度的期待可能會脫離現實所需,一個社會在生存、掙扎之中脫離加拉巴哥化所需要的多邊國際臍帶。
對國民而言,捷克還是捷克,台灣還是台灣。參訪團透過「外交防疫泡泡」也見不到,見不到就不會真實的存在生活當中。
當下流行的合作方式如供應鏈的系統化重整,信任夥伴關係的強化等,這些都很「實用」,但在快速執行中,總是欠缺點那種富有真實血肉但還有理想成分的關係。或許我們應該先好好了解捷克,也讓他們先好好了解我們。太早就落入利益交換的供應體系,對台灣來說,歐洲就少了一扇窗,對捷克來說,在亞洲也少了一道長久之門。社會主流所信奉的價值是否「同詞則同義」?餐敘拜訪低迴間還等待沉下心的思考。
幾位捷克的友人也很期待這件事,但目前也僅止於期待而已。卡夫卡在書中會有什麼先驗的暗示,也說不一定。你知道捷克人很愛喝啤酒,對吧?
一點觀察:
大概主要政府機構都派員參加,我想這也和國安單位的推動有關。五月以來堪稱「動搖國本」和「國人信任」的資訊安全事件層出不窮,至今仍無堪讀堪用的公開檢討報告。實質 CyberSec 2020 延後舉辦,此會議恰是鼓勵公部門面對產業和利益相關者的極佳場合。這可由多人的出席和蔡英文總統的致詞得見一番。
有些政府單位也準備了比較豐富的題材上台報告,若安排得宜,則有公開交流,例如針對《資通安全管理法》施行細則和未來修法方向之交流。但有些單位因為業務屬性屬於機敏範圍,雖說聽眾興趣爆棚,但演說品質猶如清水。調查局即是其中之一。落差過大,有點可惜。
無論如何,走一趟 Cybersec 2020 台灣資安大會都能學習到不少。iThome 有不少精彩報導。
另外一個重點是總統致詞全文。但這致詞毛病不少,可歸納為下列幾點:
(一)以總統高度,這應該是把「安全」和「戰略」的場合談得更清楚的好機會。但由於主辦單位承攬慣性,難以避免的因襲了經濟部工業局優良的產發論述傳統,反而在「安全層面」沒談到接下來的整體國家和社會所面臨的重頭戲(如台美即將共同發布的宣言)。談的方向落入經濟部的重頭戲,如「搶先佈局 AI 人工智慧」「物聯網的資安應用」等。總統府「掉下來」談這些產發議題,就沒人能談、要談更重要的上位議題了。
(二)「數位發展部會」的訊息不明,節奏不明。在此場合再度強調,並非聰明之舉,只是促進更多猜疑和競爭。而且對這部會的職掌期待太大,未來失望可能會更大。何況,「數位發展部會」難道要肩負台灣所有在資訊和網路領域的安全任務?這也說不通。
(三)至於『「數據驅動」為核心的主動防禦體系』不知是否有更深一層的公開論述。目前看來,軍、情、安全等系統原本執國家防禦之重的單位,並未納入《資通安全管理法》等範圍。「情報隔離」的作業原則根深蒂固,在沒有威脅情資分享傳統的單位,如在衛福部 H-ISAC 還說得通,但在軍、情、安全系統可非如此。此法上路後也花了兩三年建立很基本的聯防機制。建立的步驟仍在實質初期就要根據數據能推導出「主動防禦」的態勢和作為,我感覺實務上會有巨大的落差。例如,主動的責任是什麼單位在擔當,情資如何交換等,誰能指揮,有權指揮等,目前在公開場合的討論,仍然付之闕如。既然還是空的,那就還是流於空話。
以上。
一天半前才說要注意微信,今天一早起來就發現在華府的記者傳出訊息:川普已經簽署了禁止微信的行政命令。對台灣社會來說,目前媒體報的都算快,也有人專門盯川普在講什麼,所以新聞報導的一點都不欠缺,欠缺的可能是其他的部分。
比如說我們看行政命令的內文,就會發現相當「不妙」。這不妙是什麼意思?行政命令提到除了美國之外的三個國家,分別是韓國、台灣和澳洲。美國要「禁止」微信就禁,為什麼要提到其他國家?內文提到這三個地方的目的是什麼?
For example, in March 2019, a researcher reportedly discovered a Chinese database containing billions of WeChat messages sent from users in not only China but also the United States, Taiwan, South Korea, and Australia.
好的,我們看到原來是在談2019年3月某位研究者的報告。這位研究者的「報告」其實應該不少人都看過,但行政命令內只有提到這份研究,想必這份研究相當重要。美國不是沒有情報機關,也不是沒科技能力做微信的「市場研究」,會提到這份就表示對台灣社會來說也挺重要的,關心此事的人應該也要看過才是。
所以如果沒有看過這份報告,那顯然有些環節出了問題,這是在看台灣媒體報導時第一個要問的:是誰該看過?例如號稱跟美國關係密切的台灣政府外交團隊(之一)嗎?
第二點是,到底這份行政命令會如何在45天後具體影響台灣的政治、政策和產業發展?會被影響到的這些利益攸關者,已經接收到台灣政府的通知或告知了嗎?可以期待台灣政府給些「指示」嗎?美國是透過什麼管道和程序,讓台灣政府和產業知道美國商務部要「動手」了?台灣是真的只有45天反應?還是已經有什麼政府單位提前知道?
第三點是,如果我的公司有騰訊集團的投資,而且我有美國籍,現在人在台灣,那我該怎麼辦?這是用私人公司角度來看的,事情這麼急,也不算風險管理,根本可以說是馬上就要有緊急應變的「逃命計畫」了。那行政命令要找誰來解讀?美國商務部通常是如何執行行政命令的?過去有發生過這等力道嗎?有經驗的人在哪?公司的內部法務能應付嗎?商務部是怎麼界定 “transaction” 的?此行政命令只適用於「微信」,還是整個騰訊控股集團?
第四點是,美國年底選舉之後,這份行政命令會不會翻盤?還是我可以緩兵之計,等選舉結果之後再說?或是鞭長莫及,反正化外之地,不會被「燒到」?
Sec. 4. For the purposes of this order:
(a) the term “person” means an individual or entity;
(b) the term “entity” means a government or instrumentality of such government, partnership, association, trust, joint venture, corporation, group, subgroup, or other organization, including an international organization; and
還有很多可以討論的點,但對台灣來說,既然被「點名」了,就不要看看台灣媒體的報導就算了。認真一點會比較安全。台灣有多少微信用戶,想必也不在少數。
事件:Pompeo says US may take action against TikTok and other Chinese tech companies ‘shortly’
Ben 的文章基本上都講完了,我提供些「台灣觀點」作為思考的出發。
(一)此事台灣政府不要置身事外:這意思並非說川普政府透過媒體所表達的意圖陰晴不定,所以我們要多追蹤關注,而是川普政府認知 TikTok 所構成的威脅(Ben 的文章提到不少),有些說法是長久以來為不少人所關注的,有些則是這一週突然冒出來。這些明示和暗示的威脅型態,有些有所本,有些找不到本(如:拆 app 分析數據流)。有本的要研究,無本的要觀察。更重要的是
臺灣也面臨類似的「威脅」,而且台灣浸泡在這些威脅樣態的時間,大概比不少國家來得更為歷史悠久
例如長期在台灣政府資訊系統之間流竄的 “Taidoor” 在2013年已經為人所知,但美方到昨天才由 FBI 發表聲明。
在網路攻擊 (cyber attack) 部分,台灣可說是地緣脈絡下的事件中心。執持著「安全、自由、可信任的網路空間」大旗,還能催生出《台美5G共同宣言》這樣的動作。雖然 TikTok 在台灣的影響不若其在美國的吹枯拉朽,不過眼下想處理的 iQiyi, Huawei 等層出不窮的動作所隱含的意識卻是類似的。可是台灣並非網路大國,也沒有如此直接的行政指導,指導出來還封不了反而會變成笑話,封了也會變成笑話,可能還會把美國服務商拖下水。台灣在網路空間要處理的多邊問題的構面和美國、中國是不一樣的。這個意思是說,台灣如何精準、細膩、有效、基於法治精神的處理模式,反而對很多國家是更有實際參考價值的。如果台灣搞不太定,在特定的圈子也會成為國際的教材。
(二)關於年輕人政治觀的培養場域:出身於2000年後的世代,如果居住國是類似美國、西歐和亞太等這些上網滲透率高的國家,那麼這個世代的所有政治觀,可能都是透過網路所培養起來的。這個世代受到大型技術平台 (big tech) 的演算法影響是最為強烈的。我們把前總統李登輝近日的逝世拿來作為一個對照,也能提醒 “big tech” 在地緣政治對於年輕世代影響力——這點的重要。90歲的和60歲的台灣民眾對於李登輝的回憶是不一樣的,40歲和20歲的也完全不一樣。20來歲對於李登輝的認識,幾乎來自於網路媒體,更精確地來說是社群媒體。什麼樣的勢力在社群媒體能投放影響力,就能塑造和掌握歷史人物(或事件)的重新詮釋。
TikTok「厲害」之處在於(Ben 的文章也講了很多)能夠「掃蕩」已開發和開發中國家龐大的上網年輕人口(想想印度),這個人口層是美國四大平台所難以企及的,而這和 “K-Pop” 或是 “BTS” 等打破亞洲娛樂界天花板的狀況顯然又完全的不一樣。
真封了誰受益,下一個被封的是?:TikTok 似乎沒有現成的取代品,但包山包海的 WeChat/Weixin 可不一樣。微信如果成為下一個目標,那麼以台灣觀點來看,不妨現在開始推定想像想像。誰受益?誰受害?這個受益和受害的規模如何?會不會造成網路使用者的「大流竄」?
今天當屬文化部此案值得討論:有關公視「國際英文影音平台」計畫引發的爭議 文化部發表聲明 (7/22)
可能我看的各國新聞節目稍多,網路也用得夠多,看各國政府的各種宣傳品和訊息也異常的多。台灣的文化部此事在規劃、定位、程序等階段沒有什麼意見,我借題發揮說說看台灣這三四年來對外的「新聞」有感。
這四年來台灣對外的「新聞流輸送」有些具體轉變,這轉變來自於社群媒體操作的「正規化」。過去我們能到來自台灣的外文新聞,就屬老字號中央社、央廣、外交部體系等所支持的刊物。這些刊物的流通管道多半已經轉換過一輪,因此就算沒機會接觸通路,也能在網上查閱到新聞。Taiwan News 也算此類,有不少殷勤的外籍記者、編輯和合作夥伴,也在這個政府過去所打造的宣傳集團任事。
比較大的轉變來自於兩則力量,一個是蔡政府在執政和競選期間大力運用社群媒體,獲取了巨大的「數位紅利」。另外一個是美中貿易戰乃至於現在的新冷戰揭幕,若干國際族群對於台灣資訊的渴求。前面一股比較小的是推力,後面是龐大的拉力。兩股力量匯流點,則是武漢肺炎。當力量匯集,很自然就會有人想要更正規化做這件事。所謂的正規化就是在法源、預賽、程序、公益和國家發展等面向打造出一個比較「穩定的結構」。
也有商業電視台的英文新聞,但這些新聞由於「託播管道」受限,所以對於這個時期渴望來自台灣資訊的族群而言是沒有用的。在垂直的產業領域,如財經、電子、貿易等方面,外國商業媒體也陸續在台灣擴充編制,本來沒有在台灣放人放點的媒體集團,也在兩年前開始「點放」嘗試。外交部手上那份登記在案的外籍記者名單越長越大,這對即使是需要收視來自台灣的外文新聞閱聽眾而言,也是一件不知道的事。
為什麼會提到外籍記者呢?因為外文新聞多半需要外籍員工。前一陣子台灣外籍記者聯誼會的重組,也是為了因應現在的時勢而不得不然的變化。過去這個協會根本是冬眠狀態,畢竟台灣不是全球政經事件發生的核心,聯誼會在台灣宛如一灘死水,這是可以理解。武漢肺炎後,不少移民二代,三代等熟稔中文和主要外語的記者也對台灣有興趣了,但台灣沒有提供正規化的工作機會,區域新聞中心對台灣「佈局」的腳步也很慢,所以愛台灣歸愛台灣,要好好「報導台灣」,還是掌握在內部編輯人員選材、選新聞還有新聞主管的偏好。
而台灣長期「製造」外文內容的生態圈也有了變化:第一個圈子就是上面說的,傳統受過新聞訓練的這一批人,有新來乍到也有待了很久的。第二個是財經產業類的,多屬專業領域,成長幅度不大,台灣政府幫太不上忙。第三個則是大量的新的「生力軍」,也是生長於社群媒體時代,外文水平相較於上一輩而言,比較能溝通交談的這一個族群。
來自台灣本地的資源在第三個族群之間的交換是最為普遍和豐沛的,這個圈子很知道怎麼製造輕薄短小的內容,而這些內容的流通平台就是全世界最大的幾個社群媒體平台。這三股勢力在「內容製造」各自有擅場,但台灣的新聞媒體主管多半來自第一集團。主要對台灣資訊渴望的利益攸關者則是需要第二種集團的內容。能豐沛快速製造符合現代數位社會口味的內容製造大軍,則是來自第三集團。
最糟糕的狀況就是,第一集團類的花錢方式,想做第二集團類的水平內容,但能找到的多半是第三集團類的人。這也是目前也是 “PTS World Taiwan” 前導計畫被文化部所賦予的執行方向。
比如說,台灣防疫的成功是被全球普遍認可的,但防疫成功是如何才得以防疫成功,這可不是兩三條黃金定律就能說得清楚。我們從三月底開始觀察政府所出版的外文資訊就會發現,很多急就章的對外和對內的說法是不同的,甚至不同外籍記者對台灣不同部會針對同樣議題的採訪,也會得到互相矛盾的解讀。不少對外「宣稱」促成台灣防疫成功的作法,在台灣根本不具規模,但卻有高度「實驗」「科技輸出」的潛力。在外交部、衛福部不少正式文件,我們都看到了這些例子。相反的,因為實名制而「被迫」支援的六千多間藥房和地區診所,它們所扮演的角色是不可抹滅的,但透過同類型管道所得到的曝光,卻是幾乎不存在。
如果我單看台灣的宣傳,我會認為台灣是「黑科技」人工智慧防疫的大國。但實際上?
套裝的「成功經驗」若只有成功的作法,這些套裝的組合技巧是沒有實務上價值的。在過去三個月,不少人也因為對於台灣政府對外媒的公開說法感到偏離事實而有些討論。這些討論的起因是擔憂過於簡化的「出口論述」,對於其他國家在防疫實務是沒有價值的。
有人說,這個階段全球渴望台灣的資訊,所以我們要有國際「英語」的頻道。這段陳述不盡然不對,但是看到武漢肺炎肆虐的例子,令我們很自然的會想到,這個影音平台到底會是什麼光景。絕大多數的朋友大概不會落入台灣政府支持的外媒訊息投射範圍,例如外館的同步宣傳,透過外貿體系投放的廣告等。”PTS World Taiwan” 的設立,也看似和國民沒什麼關係。
但真的是如此嗎?
事實上在第一次聽到 “PTS World Taiwan” 的計畫,我想到的不是 BBC, NHK,而是更富有政府宣傳色彩的俄羅斯 RT、韓國 Arirang TV 或 France 24 等媒體集團。但奇妙的是,即使你和我一樣常看俄羅斯 RT 的各頻道,你會發現 RT 並不是一直介紹俄羅斯,他們的節目在製作時有個更大的「野心」,是俄羅斯觀點的投射,不是俄羅斯地域的單純宣傳。
這也是多半比較「上道」「有宣傳歷史」國家所資助的現代新聞節目的態樣。
即使是「政府宣傳」,但這兩條路線是非常不一樣的:一個是一直講自己,一個是讓人家要聽你講世界。一個是讓閱聽眾只知道台灣的好,另外一個是讓人家想知道你台灣是怎麼想這些發生在世界上的大小事。前者叫做宣傳台灣,後者叫做台灣觀點。前者是模範學生的世界,後者是真實的社會。
但要能有「台灣觀點」是非常難的:第一個是要有觀點,第二個要有事件,第三個是這事件的發生台灣不至於說不上話,第四個是內容要能被快速產製,第五個是要有管道被人家知道。上面提到的幾個媒體也不是在每一個節目都必須符合以上條件,媒體內容本來就不純然是科學,還有社會溝通、語言、視覺意象和藝術的成分。
最後,很多人比較擔心的反而是台灣公視約聘雇員工長期勞動條件的低落和不堪。此外,政府公開資訊、對外正式文書和中文新聞稿語焉不詳,讓外籍翻譯者定期頭痛的根本問題已是陳年舊帳。這些一年有十億來促進改善,應該不為過才是。拓寬一條鄉道不到一公里花個兩三億都花了,不是嗎?
推薦閱讀:我贊成公視國際影音平台,為何投反對票?
台灣已有媒體接到據稱來自相關 IT 部門的內部訊息,率先揭露。但 GARMIN 全球服務已故障兩日,從各種資訊初判,此案有其特別之處。台灣不可不注意。有幾點國內 IT 媒體沒提到的:
這個時間點很妙,但要把事件發生的時間巧合歸因於「新科技冷戰」,大概在證據端還相當不夠周全。但有幾點令人疑惑的是:
但以台灣為製造基地的 GARMIN 遭致此等程度的攻擊,這點卻是不能假裝沒看到的。台灣在四月之後陸續遭至各種勒索病毒的攻擊,不堪卒睹的五月份發生了一連串極為嚴重的資訊安全事件。我們在此同時可以看到有些國家慢慢揭露如何遭受到網路攻擊的經驗,選擇以比較透明的方式,讓所有可能遭受網路攻擊的國家和研究者,能有學習的教案和經驗。但在台灣,我們還是只能循線媒體報導,聽聽飯後的流言流語。這些在資訊安全整體觀和防衛力的提升,並不能讓人學到什麼。
這件事目前已經引起了不少安全領域媒體和專家的疑惑,而「台灣因素」尚未被帶入討論。希望未來不是以台灣為製造基地的國際業者都要面臨類似型態的威脅,否則台灣政府和美國政府之間要如何合作,在情資、通報、調查、鑑識、司法互助、聯防、公眾溝通和外交等層面,都會面臨新一波的混亂。另外,GPS 可說是現代空間資訊的基礎建設,從這個觀點來看就知道事情可以如何看待。
如過這只是一件單純的商業犯罪,那有得煩惱的也不少。身為一個超過20年的使用者,希望事情單純點好。
這幾天客委會提供旅遊券登記和發送一事,網路服務時好時壞,網路服務的使用者旅程 (user journey) 也再三更佚(站點一、站點二、站點三),堪為台灣政府在疫情後數位發展的經典案例之一。
此案有幾個特徵,造成在服務規劃、系統分析、程式開發、專案執行、客服除錯、公眾溝通等面向非常難以「順全緩平」:
縱整一句就是:遇急變則大亂。
為什麼客委會所提供的網路服務會淪落至此?我想還是有兩個長期未解的難題:
時間都2020年了,很多人最不樂意見到的就是每次「網站卡卡」,問題的根源就歸咎於「駭客入侵」「流量太大」,解決的手法就是「加大頻寬」「增加機器」。 從規劃、分析端就預留了各種出包的風險,更遑論更精細的指揮調度 (command & control) 檢討與優化。這些疫後的案例,很誠實的暴露出台灣政府在提供數位服務大致是什麼樣的光景,而這些「遇急變則大亂」的癥結點又是在哪裡。
這一陣子的發展相當有趣,有趣的是很多界線被打破,而這些界線的打破是快速、大規模,而且是政府經意或不經意的鼓勵。這一路的「振興」「登記」「抽籤」走下去,大概很難有所「回頭」。你的身分證字號、身分證的影像、戶籍地址、手機號碼等,都成為上網交付個資,取得各種振興「資格」的必要條件。不只如此,為了方便為由,在不少流程我們也可以看到「代領」允許,創造出某種廣泛個人資料交付的便宜性。
這些透過網路交付個人資料的政策措施非常值得檢討的原因在於,它所涉及的行為人超過一半的國民,而且經手個人資料的流程端千奇百怪,複雜到光是把現況搞清楚寫一本簡冊專書都不會為過。大規模鼓勵國民上網交付個資的這個夏天,可以說是台灣「數位國家」發展最為奇妙的一個夏天。
「隱私」這個概念,在很多的語言是沒有 “privacy” 對應的意涵。妳在街上訪問十個人,十個人如何回答說什麼叫做「侵犯隱私」或是「放棄隱私」,會讓我們更驚訝這個概念的難以定義。但在每個社會當中,或是在一個社會不同的年齡層之間。對於「隱私」的保護和警覺的意識,是有很大的差距的。這在行動網路普及之後更是明顯,而最為人所能裡解的是諸如「自拍」或是大方將家庭成員的高解析照片,公開放在「網路上」。 已退休的國民可能不會將大頭照曬在社群媒體,但在「空間感」「看似幽閉」的通訊軟體,則是會毫不避諱傳遞高解析家庭成員照片,甚至是將辦理旅行證件、處理地籍稅務所必須的個人資料無斷提供。而年輕的在學學子沒有這些資料,所以不致有類似樣態被侵害隱私的案例。但隨時隨地將個人可供生物識別的資料(如照片)透過公開的社群媒體長時間的免費提供,讓生命的歷程紀錄遠比他們前幾代人來得更為透明,這點想起來也不是什麼「進步」的表現吧。
有些涉及「隱私」的問題可以從交談之間警覺,例如你問同事的家庭狀況,在台灣可能無傷大雅,在有些國家這可是相當不妥。工作履歷上貼上大頭照看似是台灣常態,但在更多國家這是某種完全不必要的揭露。給出哪些資料、給什麼人資料、資料可以如何運用、資料在搜集目的外的用途是否允許等,這些在每個國家都有一些文化習俗。有些習俗來自於法律的規定,有些是社會常規的制約。但在這個數位時代,政府身為最大宗個人資料搜集和運用者之一,振興政策的短時間大規模推展,會將整個社會隱私概念的光譜推到一個新的境界。
對於負責網路服務有實務經驗的朋友們都知道,國民所看到的一個政府單位(如文化部)的一個網站,背後的系統維運環境和資料流的走法,並不是想像中的那麼直接。同樣一個網站,但國民找到網站,拜訪這個網站,填寫資料,傳遞資料,收到通知,覆核確認,交付電子憑證等,每個環節都有問題要銜接克服,確保安全無誤。以台灣政府過去「優良」的個人資料洩露記錄來看,在短時間內要大量服務百萬到千萬等級的國民,網路服務的持續、穩定提供絕對不會只靠自己。那麼主管機關如何在這些狀況百出只是窮於應付網站能否被拜訪之外,還有心力顧及系統安全、資料安全、服務親和度 (accessibility) 等政府網路服務必須具備的要件?
答案恐怕是否。講句白話,要讓網站不會掛掉就用盡吃奶的力氣了,其他還有辦法擔心?鼓勵國民上網交付個資,政府網站是可以相信的嗎?為什麼可以相信?資料的留存和處理的通用原則是?網站掛了上不去,是不是要重複上傳個人資料?有些網站根本不是 .gov.tw 結尾,我應該相信這些網站和政府機關是有合作的嗎?如何進一步確認?打客服電話?還是反正填了拍了身分證影像上傳再說。抽籤抽不到就算了?
今年的夏天不只是大規模搜集個人資料的好季節,而且是國民網路安全使用習慣被強化鼓勵大步退的季節。通常一整個社會的隱私習慣需要數十年好好的培養,但我們卻在一季之內因為武漢肺炎疫情控制得當,反而加速了退步的節奏。這個「防線」的退步所暴露出來一個社會的脆弱性,在承平時期不容易被利用。但在「新科技冷戰」之際,地緣區域衝突提高,台灣社會的這個脆弱性,可是可以好好被「利用的」。
邊境開放本來就涉及很多的溝通和互惠原則,尤其是武漢肺炎疫情趨緩之後,對各個國家來說,都是一件頭痛的問題。各國要不要開放,如何開放,開放是透過什麼平台和管道討論,我猜這些都有既定的 protocol 可以遵循。但邊境管理業務畢竟非我專長,我們大概只能由過去的經驗,推想這些開放邊境的協商是大致如何進行的。
比如說,如果是兩個國家之間,疫情狀況類似,而這兩個國家是陸連國,出入境有一定的管制。那麼這兩個國家之間,大概要互相協商如何開放,從哪裡開放,應該不是難事。有些國家相鄰的國家有超過三個,我猜在比較正常的狀況下,例如雙方不是在交戰狀態,也沒有大量難民從A國直接流竄到B國的問題。那麼在疫情趨緩後,人總要流動的,A國之人可能白天在B國工作,晚上又回到A國,這在歐洲各國皆屬常見。多方協商邊境開放和防疫管制事宜,大概也不會不知要如何開始。
比較特別的是海島國家,例如日本、英國、菲律賓、斯里蘭卡等。但這些國家和台灣不同的是,在不少協商的平台和管道,可能會依照某些成文或不成文慣例,直接被納入討論。台灣的狀況,我也不用多說,這裡也不用說的細。但要知道的是,可能有些平台「疏於維護」,對於互相協商的 protocol 也缺乏熟稔之人。因此雖然疫情管制和社會安全,台灣實則在世界名列前茅,但這些名列前茅的媒體報導、報告,或是雙方和一對多的論壇,多半僅僅是權宜之下所搭建的平台。就算台灣能見度大開,也只是算是在媒體(包含社交媒體)的關注,只要回到各國「正規」或「正常」的作業程序,台灣很容易就被忽略。這道理大家都能理解:台灣很紅(相對)跟一起要做事是無關的兩件事。
這忽略或許不是惡意的,更多可能是慣性。再加上台灣這一波在國際參與,發展出了很有自己「味道」的打法。這些打法其他國家可以欣賞,但是否能學習,顯然又是另外一回事。你好歸你好,我當盆花來欣賞,來崇拜,但沒有要大大買單,因為這不是我要的,這樣總可以吧?
各國首批邊境開放沒有台灣,我認為不用太意外,這可能是一時的。但這一時的前後差距所造成的影響,不能說很小。國際參與不單是講好話講大話給人家聽,熟悉國際語言,不要誤把媒體報導當成是正式國際各種合作努力經營的一環,這應該是這個階段面對邊境開放議題首要的認知。
自己好當然很好,但要能合作。這合作不是說就是完全開放台灣的邊境以達到互惠的實質效果,而是有很多更全然要考量的面向。”Persistent engagement” 非常重要,自己的國家要有團隊能夠把這事認真長期專心的做好。
1. Role and responsibilities of minister without portfolios (Taiwan)
2. Literally only one is active on Twitter
3. The actual governing structure is complicated and the general public is never aware of the dynamics, let alone foreign journalists
起因:台灣郵政產業工會一文
我想了一下透過郵局刷健保卡買三倍券會遇到什麼問題(撇除合不合法的部分),因為這次所面臨的客觀條件和藥局非常不同。
藥局端:
郵局端:
很明顯我們知道郵局比藥局在服務總時間、服務可用人力、服務據點數量等三個明顯條件,都遠不如藥局。那麼有些人説郵局的地點都很好,地方都很大,比社區藥局更方便,所以應該不會有很大的問題。但真的是這樣嗎?
我們憑印象不準,先抓取郵局據點的資料做點初步的觀察。郵局雖然地點通常不錯,但郵局在一個行政區的數量,目前看來是沒有隨著人口的成長而有相對應的新設據點。比如說,台北市人口不到三百萬,郵局支局有兩百多間。台中市人口與台北市接近,但郵局數量僅有台北市的七成。新北市人口超過四百萬,但郵局數量和台北市卻是類似。
再來是在行政區內服務人數的不均勻,例如:
郵局據點和藥局據點的分佈屬性差異太大,全國藥局有2/3幾乎都是在社區,而郵局的比例遠低於此。如果不看勞動人口(購買三倍券的人)的日夜移動傾向、居住地、戶籍地或是郵政儲匯戶口活躍樣態來看,平均一個郵局要服務的人數,至少相差了五倍以上。這還是暫先不考慮郵局內部職員和工員編制規模,例如一個支局有多少人負責儲匯業務。
從最新一份的郵政年報,我們得知郵局平均年齡約為46歲,平均服務年資17.5年。總公司和各等郵局的訓練人力加起來只有20人(總公司16+各等郵局4)。根據經驗來判斷,郵局要快速導入全國一體適用的資訊系統,在規格、招標、採購、撥款、建置、驗收、人員訓練、執行操作等環節,應該會遭受到極大的不可抗力因素。目前買三倍券在郵局要過健保卡才能購買,沒有資訊系統的輔助,這件事也不可能發生。郵政產業工會的說法是:
櫃檯業務有專責儲匯的窗口,
也有專責郵務的窗口,
還有郵儲共用的窗口;
硬體設備老舊、程式設計陽春、系統常常不穩,
不論哪一類業務,
都有各種零碎繁雜、需要人工拼湊的流程與紙本作業。
而主管機關與總公司的精簡政策,
致使窗口人力緊繃已成常態,
更是雪上加霜。
所以初步看來,相較於藥局,郵局這個通路:
簡單來說很多人要「剉咧等」,這個等還是全國性的「等」。郵局自估約要服務1000萬人左右,按照口罩實名制的經驗,電子通路 (web/app or kiosk @ convenient store) 最多能吸收到25%的全國民眾,剩下75%恐怕要中華郵政吸收。算一算不會只有1000萬人,而且全部是擠在7月15日的炎熱夏天,這和「春涼時分」在社區藥局拉凳子閒話家常,肯定會有完全不同的景致。
除了武漢肺炎之外,五月在台灣最值得關注的是幾件攸關「安全」的重大事件,雖然不是所有安全事件都會和資訊安全有關,但這幾件事都有資訊安全的成分在內。
這六個案子也未免太「完整」。有些是今年五月才被揭露,事件發生的時間點可能是去年或前年。有些事件則是要達到如此程度的駭侵,其潛伏的時間不知道多久,但極有可能不是在過去幾年,資訊系統已經遭致潛伏滲透。
撇開時間點的巧合,這幾個案子是:
任何一個國家在一個月內發生(或被揭露)這六件事,都是防線瀕臨崩潰的前兆,或是防線已經階段性被裂解,要重新接起來不只耗時費日,更可能還有未被攻破的防線尚未被發掘。如果此系列事件發生在G7諸國,各媒體的報導會是鋪天蓋地,連專業領域的媒體也會接力發掘真相。但由於事件主要發生點是台灣,台灣雖然拜疫情控制得宜之賜,在國際媒體的曝光量完勝過去幾年,但是涉及安全事件的新聞,一來有理解的門檻,二來訊息紛亂且不完整,三來國際媒體對台灣政府資訊安全的了解近乎於零,四來缺乏管道,五來有語言障礙。所以這系列事件沒有在國際媒體普遍見光,是好事,但也是壞事。
中油此案我們還不知駭侵的動機為何,通常牽涉到關鍵基礎設施(如能源、水力、醫療等)的各種網路攻擊,都是非同小可。勒索病毒雖非實體攻擊 (kinetic attack),但卻可以造成非常大的攻擊效果。這等層面的攻擊有商業和政治目的兩種,這兩種也可能混合交織。如果是實體攻擊(如傳統武器),那更是武力衝突的前戲。後者整個國家的防衛體系就必須介入,而介入的手段選擇,則可能有政治判斷的成分。但遭受到成功的網路攻擊 (cyber attack) 後要如何「反擊」,這點在台灣的政治決策領域或許完全沒有演練過。尤其是在520之際,國家安全體系也在面臨重整,中油這次事件,我們完全沒看到對攻擊方要如何「反制」的意識和作為的實質展現,甚至連討論的意願都付之闕如。
這是不可思議的,在有些國家甚至是不可原諒的。
接下來是總統府/黑函/偽造/洩密一案。這件事根據已公開但仍然是紛亂的訊息來判斷,當然是精細的操作。這次「攻擊」的資訊技術成分可能不高,但在操作技術上則非一般駭侵發起方所能為之。同樣的,攻擊事件到了總統府這個層級,如果資訊技術成分不高,那麼就有兩個問題:一來是總統府的資訊安全環境在某幾種威脅情境之下,抵禦力極差;另外一個是,資訊安全政策或許非常嚴謹,但和第三世界國家一樣,「官大學問大」,沒人敢請高階政治幕僚遵循安全政策。這兩種都有可能,我們在這沒辦法說原因為何。
如果攻擊的資訊技術成分高且複雜,那沒什麼好說的,只有一個結論,就是防線已經崩潰。但目前看來還不是如此。我們只能說,這件事情沒有個完整的報告和說法,這心中的問號只會繼續累積。更何況,這是在總統府層級,和總統府打交道的人(也可能是外國人和盟邦友人),如果他們也知道總統府的資訊安全政策和環境不是一個完全可以信任的空間,這在未來顯然不是好事。
立法委員收到的釣魚郵件攻擊,也不一定是和總統府一案來自同樣的攻擊團隊。很多攻擊手段並不難模仿,而釣魚郵件和偽造寄信方的攻擊型態,更是常見。立法委員因為職務型態,他們所處的資訊安全環境,無論是在正式的工作環境或是個人的工作空間,可說是比一般企業來得更容易暴露在各種型態的攻擊之下。在不少歐洲國家,國會議員通常是「很甜」的目標。台灣的立法委員是不是很甜「很補」的目標?當然也是。國會在一個民主國家當然很重要,讓一個國家的國會或是關鍵的國會議員無法「正常運作」的後果是什麼?大家可以發揮想像力,或是多看看歐洲、南美等諸國遭受到網攻之後的各種案例。
國防部漢光演習此案也屬於無法理解的領域。不過這是舊案(青年日報報導),搞不好已經獲得某種程度的解決,我們一樣無從得知。此案很明顯和上述重大安全事件的受害狀況完完全全不同。或許只有做過攻防演練,扮演「紅軍」「藍軍」,而且和台灣軍方的演習體系玩過的,才有機會知道事件。重要的事,此事涉及資通電軍指揮部,也就是「攻守一體」的「網路軍隊」編制。資通電軍指揮部成軍之後發生了不少事件,而這次被揭露的陳年舊案,則是在成軍不久所發生的。但涉及軍方,在很多國家屬性相同的重大安全事件,多半短期內我們也不會知道詳情。
外交部的部分可以看出國報告資料,或是2018年甫完成某種系統建置的說明。外交部駐外單位和人員所待的環境,可說是比國會議員更為複雜。而他們能夠自主掌握的環境條件又更少。換句話說就是,外交部可能是最容易遭受到各種奇形怪狀駭侵的受害者,而「資訊」「安全」在外交部體系內,過去大概從來沒有獲得足夠的關注,安全環境建置的投資,也遠低於標準。
過去外交部很低調,一般國民也不會感受到外交部的存在。拜美中貿易戰和武漢肺炎全球肆虐的「機會」,外交部的各種作為,突然變得非常即時和「顯性」。顯性就容易成為目標,尤其是在多方衝突和競逐議程設定 (agenda setting) 的國際場合。外交部弱,國力的投射就弱。外交部的安全事件多,那國力投射的路徑就能被快速預測,甚至是使其失效 (neutralize),削弱外館的能量,任制危害的國家的利益。
以上的威脅都不比2000萬筆個資來的驚悚,這我在前一篇短文沒有多做說明,原因是不敢再推敲下去。總體來說,過去四年為了達到「資安及國安」所揭示的目標,達到了長足的進步。但很遺憾的是,四年一任期不足以把事情做到及格,在五月份被揭露的這幾個重大安全事件,每一次都攻擊都成功達到了不同的目的,每一次攻擊都規模都越來越龐大,攻擊的面向越來越全線完整。但我們每一次所獲得關於重大安全事件的訊息卻是越來越少。中油一案,兩週的激烈討論後似乎沒這件事發生一樣,總統府黑函/偽造/洩密事件也大約是兩週。如同我本文最前面所說,在任何一個正常的國家,一個月發生這些事情,早就表示防線已經崩潰。
崩潰還能保有普遍無感的原因是什麼,這才是更大的危機。如果我是友邦,我會很擔心你台灣到底行不行。如果我是台灣的國民,我會開始想說要怎麼自保(還是乾脆放棄自保)。這態度顯然很消極,但希望不會加速走到這一步。
據稱資料筆數達到「兩千萬」等級。撇開政院、調查局和刑事局的說法,身為一個可能被影響到的人,在不接觸資料的前提之下,我們如何找出:
很可惜的是,以目前行政院發言人、行政院資安處、法務部調查局和內政部刑事局的說法來看,你和我一樣,永遠不會知道發生了什麼事。
引用行政院發言人的說法(中央社報導),我們目前知道的是:
丁怡銘指出,有關網路流傳暗網販售數量超過2000萬筆的台灣民眾個資,經相關單位查證,該資料流傳已久,檔案內除原來2006年前的資料,還有29筆2007年之後的資料,包括2007年7筆、2008年11筆、2009年3筆、2010年5筆、2011年2筆、2016年1筆。
上面的三個切身的問題,都不會有答案。換句話說,即使這兩千萬筆的資料是:
…… 但此案實質上對你我而言,可能都有莫大難以彌補的長期傷害。
怎麼說?
(一)資料新舊不是關鍵問題:如果絕大多數資料的最後更新日期是2006年,那麼表示現在15歲以上的國民,都可能有一些關於身份的個人資料已經被包含在暗網兜售的資料集裡。台灣每年平均死亡人口十幾萬,2006年到現在至少過了13年,所以2000萬筆資料裡面,若是資料沒有重複(從個人身分證字號來判定),那麼只要是成年人,基本上你的資料已經被公開「裸露」在暗網。這些資料可以被賤價交易,可以被挪作其他的運用。
這資料新不新舊不舊關係不大,因為目前看來資料的各欄位都具有比較「超低度變動」的屬性,如 (a) 姓名、(b) 地址、(c) 身分證字號、(d) 性別、(e) 生日、(f) 電話。幾乎不會變動的有 a, c, d, e,如果 b 是戶籍地址,那麼變動的次數也通常極低。f 比較特殊,端看是市話還是手機號碼的格式才能進一步判斷。如果這些 a 到 e 的資料如果都不會變更,那麼資料的新舊根本不是問題,因為我還是可以透過這些資料找到你,定位你,描繪你,以及用在很多其他的用途(非本篇討論範圍)。
事實上,15歲以上國民的個人資料搞不好是越來越有價值(當然這不是說未滿15歲不重要)。
(二)政府機關太快下斷言:我可以理解政府機關在過去三週內因為各種資安和洩密事件變得「緊張兮兮」,但資料新舊不是這件事的重點。對政府機關可能是,但政府機關裡也是一個一個人,全部都可能在影響的範圍之內。更何況是更多像我們根本不是公務人員的一般民眾,有這等規模的個人資料在暗網兜售,無論如何,政府機關都有密切關注,甚至是應該有所積極作為的義務。
(三)沒有詢問和救濟管道:回到我上面最初問的三個問題,到底你我的個人資料是不是被包含在這次的資料集內,怎麼問都問不到。可以報案嗎?當然不可能報的成。那我們有專門負責隱私或是個人資料保護的機關嗎?這些資料的欄位看起來是各種機關都會在業務蒐集的,有些機關保有和蒐集的資料,可能沒有到兩千萬人之譜。能到兩千萬等級的,基本上就是內政部。但我們可以跟內政府警政署刑事警察局「報案」說,可不可以幫我抓到「罪犯」?答案當然是不可能。
那麼國發會個人資料保護專案辦公室呢?我該問他們嗎?
如果兩千萬筆的資料,重複的比例很高,最後發現不重複的個人只有八百萬筆。那麼,這八百萬筆是誰?這些人還活在世上嗎?
因此,我們在此時至少需要:
有些國家在大規模國民資料洩漏上有案例可供研究,他們如何補救,當然也值得盡快研究。(非本篇討論範圍,暫且到此)如果此案最後發現資料集在信度和完整度上都很有疑問,例如九成都是假的(再說一次,不是資料新不新舊不舊的問題),那麼,主動告知國人,也不失為一個好方法。
簡短以上。
蔡英文總統今日就職所說的六大核心戰略產業,先引用英文原文的部分。
Second, we are going to develop a cybersecurity industry that can integrate with 5G, digital transformation, and our national security. We will strive to create cybersecurity systems and an industrial chain that can protect our country and earn the world’s trust.
對應的中文原文是:
第二,台灣要發展可以結合5G時代、數位轉型、以及國家安全的資安產業。我們要全力打造可以有效保護自己,也能被世界信賴的資安系統及產業鏈。
實質內容是什麼可以看《鏡週刊》在5月13日那一期的專題報導。有些人士的安排可能早於「六大核心戰略產業」的揭露,例如和碩的童子賢任中科院董事一事已經放出了訊號。《鏡》的專題並不特別,但台灣過去扶植產業所習慣的打法,這次是套了新題材重新再說一遍。
六大核心戰略產業是怎麼挑的無從得知,但我們從上述中文和英文的說明可以看出在對外(英文)和對內(中文)說法的不同。我建議先從英文開始看,因為台灣過去的政策只要牽涉到戰略層次和科技題材的挑選,英文的說明很容易看得一頭霧水(詳見總統府、大院、國發會、外交部、經濟部等相關英文說帖網頁)。我猜是翻譯的團隊不具有產業領域的專業,只能望文生義。所以若是母語並非中文的人士,只看英文會摸不著頭緒。這點我個人有親身體會,曾被不少外國記者問到。那為什麼我們要從英文來看呢?因為英文表述缺乏藻飾,比較可以推敲出本義為何。
we are going to develop a cybersecurity industry
這個意思是國家要發展一個網路安全的產業,但是以台灣一個國家的力量來發產一個網路安全產業,這並不符合市場現實。網路安全的產業已經存在,台灣無論怎麼努力只會是整個生態系的一環。從過去的經驗來看,台灣是想要打入網路安全的產業鍊,而並不是自己創造出一個產業。這差異是相當巨大的。
that can integrate with 5G, digital transformation, and our national security
這個顯然也是中文直接翻譯成英文,而且比上一段更模糊。英文的意思是「網路安全要整合 (integrate) 5G、數位轉型和我們的國家安全」。但這段話內涵的各元件是各有衝突且不在同一層次上的。這段話有四個「元件」:
無論這些元件有無定義,擁有最高優先順序的通常是國家安全,或是在發展其他三個大項目前,要選擇走什麼科技發展的依賴路徑,是要先過「國家安全」這一關的(無論這對不對,或你我喜不喜歡)。用英語所說的「網路安全」(cybersecuirty) 來「整合」其他三個項目,這段話會讓人家猜。當然,和台灣長期半導體、電子產業和資通產業曾經長期合作過的,不會不知道這是什麼意思。
一般而言,國家安全是要維護的價值,價值有其體現的原則。這邊談的畢竟不是一般產業,是「戰略」而且「核心」的產業,談的場合更是最為指標性的就職演說。即是談產業發展,戰略原則談得清楚,也比你要做什麼更重要,要更能被清楚的討論。例如國家安全和5G的交集,《布拉格提案》是一個例子。如果我們在稍微不偏離其中文和英文原意,考量到《布拉格提案》有談到對社會價值的堅持,順手擬一段比較好的說法,這可能會是:
我們將秉持開放社會和民主價值,促進數位轉型、5G和網路安全產業的發展,並且考量到保護自身國家安全需求,讓台灣成為全球信賴的堅實夥伴。
有人可能認為何必把與產業無關的的開放社會和民主價值放進來?我先以日前畫的這張圖作為回答。
接下來,下一段的英文很清楚的說明想做什麼:
We will strive to create cybersecurity systems and an industrial chain that can protect our country and earn the world’s trust.
用台灣習慣聽到的表述方法講白了就是:
台灣在半導體和資通訊產業對於全世界的產業供應鏈非常重要,所以台灣要扶植的資安產業,主要是以服務這些業者為主。這些業者在目前產業鏈重整的大局勢,勢必要選擇對美國作出表態和負責。資訊安全的問題越來越嚴重,5G是美國高度優先和挑選的戰略發展主題。台灣所扶植的產業鏈,一來要保護自身的國家安全,二來也要保護美國供應鏈和產業鏈的安全。因為我們值得信任,我們是民主價值在東亞社會最好的體現之一。
但這個方向會和第一個方向產生可能的矛盾,這個矛盾在美國的國家安全體系早已被警覺,在台灣也已有矛盾發生(尤其在武漢肺炎期間),警覺的人也不在少數,但大概尚未有安全體系的人認真研究討論。我先把第一個戰略核心產業的說明引用在這:
第一,台灣要持續強化資訊及數位相關產業發展。我們要利用半導體和資通訊產業的優勢,全力搶占全球供應鏈的核心地位,讓台灣成為下一個世代,資訊科技的重要基地,全力促進物聯網和人工智慧的發展。
英文是這樣說的:
First, we will continue to develop our information and digital industries. We will take advantage of Taiwan’s strengths in the semiconductor and ICT industries to secure a central role in global supply chains, and make Taiwan a major base for the development of next generation technologies, including IoT and AI.
這個核心戰略產業的英文寫的比第二個簡單易懂,但是,過去和台灣相關產業有長期合作過的,都知道台灣的 “information and digital industries” 並不是很好的合作對象(原因眾多)。真正不可或缺的夥伴,仍然是在全球供應鏈佔有一席之地的半導體和資通訊產業。
那麼,我前面不是有提到美國的國家安全體系對於某種「矛盾」的看法?我這邊先引用台灣念茲在茲的人工智慧為例。在美國會計年度2019年的《國防授權法》授權之下所成立的某個獨立委員會,特別針對「人工智慧」進行了以美國價值為主的戰略等級研究。我摘要這委員會某份報告的部分章節如下。
看完大綱是否覺得… 腦洞大開?我就以一個情境來說明這個核心戰略產業發展,必須要有具體的、上位的、充分的國家安全政策和討論來引領,以避免全力發展戰略核心產業,賺了大量外匯,最後卻是慢慢吞噬台灣好不容易建立起來的自由、民主社會的基石。比如說人臉辨識、具有不同侵入性質的監視科技在危機時的快速導入(如武漢肺炎)、實名制的網路服務、低估威脅型態的晶片身分證計畫等,這些是不是台灣引以為傲即將全力促進的物聯網和人工智慧發展?
整個台灣島要變成「楠梓(男子?)軟體加工出口區」2.0是阻力不高的路線,但這會是我們下一代所需要的嗎?既然是核心戰略產業,我們是不是該想想在大國博弈之間如何穩健的往「價值鏈」的上游走?我們的「數位轉型」難道最後只能落得服務全球科技產業的產業鏈的某一段,而不是服務整體台灣社會?或是只有「台清交」的才能享受到戰略核心產業的果實?
想想看。簡短意見交流如上。
討論事件:515總統府駭侵事件(由於此事件沒有統一命名,暫時如此稱呼)
目的:推想如果你是連帶利益攸關人,懷疑自己在通訊安全 (ComSec) 和資訊安全 (InfoSec) 層面也遭致不明之駭侵,大概要如何做出立即的反應?
由於事件本身之起因仍是眾說紛紜,而且損害狀況不明,我們只能從 (a) 媒體報導 (b) 總統府相關發言訊息,還有 (c) 專業(或不專業)人士的公開討論等來猜想發生了什麼事。你的團隊過去曾經和總統府幕僚和核心團隊開過會,也互相通過電子郵件(無論是來自府方的帳號或是府方的私人帳號)。雙方(或是涉及府方的多方)之通訊往來也會使用即時通訊軟體服務。在訊息紛亂不明的情況下:
本篇引用概念:
你心中應該要持有什麼問題?
(一)要問清楚受害者是不是只限於府內:普遍輿論都以為受到駭侵的受害者是總統府和幕僚,但和府內幕僚共事的,不一定是府內的人。如果幕僚的私人電腦可以遭致竊取資料,那麼和幕僚通信的外部單位,是否也可能已經是受害者?這個疑問你應該放在心內,而且最好不要僥倖,要有一個時間點能達到答案。但是……
(二)要知道我可以得到來自府方和刑事局的什麼協助:府方到目前為止(事件發生後四天)並沒有明確的公開的損害報告,但這是正常的,原因是此案涉及高度政治性,第一時間本來就很難了解損害面有多廣多深。二者事件發生的時間是週五下班,就算第一時間內部啟動應對機制,隨後(週六)允許和刑事局報案(偵四),也是等到週一才有對的單位啟動調查(如偵九),動手蒐集應該蒐集的電磁資料。對於連帶利益攸關人,確切了解發生什麼事,可能都要等到一週之後了(或是永遠沒有下文)。三者是,由於時機接近520,為了避免影響國內情勢,必要的反情報措施 (CI) 可能也必須介入。如果怕被連帶影響,那麼急於透過媒體報告了解「事實真相」,搞不好還會聽到互相矛盾,不合邏輯和實情的說法。
(三)要小心好奇心殺死了貓:過去我們也看過不少案例,例如在網路上隨意尋找和下載被再度被偽造的文件,開啟後造成自己的電腦中毒。你可能因為好奇從不明網站下載了號稱媒體收到的PDF檔案,但下載後才發現(或沒有發現)原來電腦裡已經安裝了惡意程式,讓駭侵繼續擴大。
(四)循政治管道了解實情:這點大概是最難的,因為就算府方已經完全掌握了事情的面貌,也擬好了對外的多層說法,但你並不是核心幕僚,卻是有可能的連帶受害者。你在府方的窗口要不要跟你吐露實情讓你可以判斷上述三個問題,你的窗口是不是有被授權知道「真相」,這件事真的很難說。比較好的方法可能是開始對於資訊和通訊安全的知識進行具體投資。或許你會馬上需要完全改變電腦、文書和通訊的作業習慣,採買新的隨身電腦或平板,或是搞清楚私人電腦該如何和公務電腦之間安全的交換訊息(雖然作業辦法不允許,但對不起,老闆沒錢幫你買公用電腦)。因為你不知道你什麼時候會面臨同樣型態的攻擊,所以能藉由此機會提早準備都是好的。
(五)可能受到的連帶駭侵影響為:
我覺得連帶了利益相關人也會面臨不同的威脅,但畢竟這些人更為分散,因此適時的注意應該是必要的。簡單交流如上。
目的:討論事件發生後一個月要開始做什麼
討論標的:515總統府疑似洩密案
概念:
一些觀察和探索如下。
(一)資訊安全不是所有的重點:本次事件的「資訊安全」面向只是部分,但非攻擊行為的全部構面。透過資安途徑檢視本次資料外洩(或是偽造文件攻擊),在未來懇切需要重視,但非唯一。「安全問題」不只有資訊安全,甚至用單純從資訊安全概念來看,在此案會有誤導的可能性。或許我們在討論時要盡量分清楚,例如還有
(二)所託非人或根本沒有人:政府資訊(安全)長 (CISO) 多半為副首長兼任,這在2016年前後曾有輿論希望政府「資訊長」制度能夠落實。原因不少,主要是現代資訊領域複雜且需要多重高度專業。資訊系統發生問題,通常會大幅影響單位的運作甚至是生存安全。一如有規模的企業內其「法務長」和「財務長」不可能找毫無專業之人兼任,那麼茲事體大的國家安全體系(如總統府),怎可能以兼任代之?上一任的兼任資訊長是總統府副秘書長,目前誰在此位尚且不明。體制和職涯發展上對資訊安全或是廣義的安全不予重視,間接導致了今日 “TWOoPLeaks” 之遠因。
美國海軍部在《海軍資訊優勢願景2020》寫得解決思路比較清楚,但請撇除具有「攻擊意涵」表述的部分,因為國安團隊不是軍隊。部分段落摘要:
(三)BYOD 自攜設備:這問題可能一直很大,在過去我不清楚國安單位的政治幕僚是怎麼做的,但政治幕僚的通訊習慣和行動安全,自攜設備的管理,有沒有人管理,有沒有錢管理,都不是小問題。這方面的「安全投資」不能不在意。
(四)退役(或退出)國安人員的管制:有前國安會人士公發布觀察。我們或許可以如此解讀:
(五)資安即國安?政治幕僚可能多數真的不知道什麼叫做現代國家安全等級的資訊安全(或是通訊安全和行動安全),但政治溝通是絕對必要的。越是高階的文官,對於威脅型態的認知可能更是缺乏。另外,過去「一○六年府會資安週—資安即國安」活動,刑事局所贈之USB隨身碟被發現內有木馬程式,此即為重大資安事件。這是警訊,可能不是單一事件。
(六)訊息密等的認定、建立、管制和交換的現代化:「密等」分類和管理必須往「原子化」的方向進行,不是只有「公文」「卷宗」,要能涉及內文的資訊和安全「訊號」的遮蔽、加密和管理,而且在作業上要合乎台灣所面臨的威脅型態來建立,更要考量到和不同安全體系如何交換的對接關係。別忘了,這些安全體系還不只是指台灣的人士和單位而已,例如 “markings system” 要如何讓訊息的另外一方理解和方便進行內部管理管制等。
(七)衝擊或損害報告 (Impact Assessment or Damage Report):國外政府和各政黨在過去十年歷有各種不同型態的洩密、文件偽造和聲譽的攻擊事件,他們是如何在3/12/24/72小時內做出第一時間反應和損害評估,如何保存跡證以利快速反制第二波和第三波的駭侵行為,相關的做法和案例多到滿出來,不參考很可惜(如 Guccifer 2.0 或是 GAO 報告翻一下)安全體系內應該要有人精熟這一段。
(八)社交網絡的人格繪製 (profiling):內行的都知道,相關的公開討論不要在社群網絡進行,越熱烈的討論可能只是讓威脅的勢力(無論是境內境外)更容易繪製支持群眾面相、描繪網路意見領袖和各帳號節點的反應,讓後續以偽造 (forgery) 文件手法的攻擊途徑,更容易評估如何擴大或是轉進,選擇下一波的攻擊組合。
(九)電子郵件:目前看不出來是如何,因為這三種狀況的威脅程度是不一樣的,媒體報導能分清楚會幫上不少忙
(十)未來要怎麼走:政治幕僚和政務人員的問題不會很小,尤其是目前台灣政府越來越依賴社群網路服務和 P2P messenger 交換訊息和宣傳,在我看來這是頗為嚴重的遠憂,這點大概要認真想想。
以上。
