把頭泡在假訊息一個月，我的頭……

最近這個月，利用幾個場合談這個困擾台灣「網路社會」的嚴重問題。有些談的場合公開，有些則是茶餘飯後。有些稍微正式，有些閉門。有些談過的人常在電視出現，有些人則是某些議題的媒體寵兒。有些人已超過七十歲，有些才剛出社會。有些人讀到假消息亂竄，徹夜輾轉難眠，有些人勤於「打擊」，使用多種「查核」工具，樂此不疲。

假訊息蔓延的「嚴重程度」，可從好幾個構面進行頗析。但由於影響層面廣泛，幾乎都是人人「有感」，每個人都能談上感想一兩句。部分族群談的積極，或許可「歸咎」於2018年九合一選舉結束當晚的完全「失算」。有些人則是感受到社交媒體越來越不社交，越來越不朋友，純粹厭煩，決定退出綿密的特定社交網絡服務。

同一時間，我們看到輿論上談得最多的，多半屬於該如何「因應」的這一段。因應是動詞，但還要有「主詞」和「受詞」。是「誰」想主動因應，當然要搞清楚。主詞「聲量」最大的，當屬政府單位。其次是專家學者，再來是長年關心公共事務，佔那總人口比例可能永遠不會到千分之一的「有心」人士，最後就是免不了的媒體自己。選舉後的這段期間，不經意在網路說上一兩句話的「閱聽眾」，這部分的人口，或許佔了台灣總上網人口不到一成，也就是説，了不起可能是兩百萬，不會到三百萬人。

在過去一個月，我所聽到的各種問題，大致可歸類為兩種：

• 我們可以做什麼？（佔99%）
• 到底發生了什麼事？（不到1%）

第一個問題問得太早，也幾乎是沒辦法回答。這也是為什麼我會一連在好幾個場合提到《奇怪的戰敗》這本書的原因。這是一本由作者親身描述二戰時納粹德國強襲法國的歷史經典之作，我用在一場公開滿座的座談〈哲學星期五〉的活動引言，先做說明。

二戰時法國慘遭大幅進化的德軍，以閃電戰強襲攻擊，數週之內導致法國年鑑學派史學家馬克‧布洛克 (Marc Bloch) 所謂的「奇怪的戰敗」(L’Étrange Défaite)。他認為，戰敗之後法國人不知道為何亡國，而是法國整體社會在智識面、軍武面和認知面的全面潰散所致，戰敗的原因是從表層到深層，不只是物質層面，更是心理層面的問題。而21世紀的戰爭，許多國家即將進入到「奇怪的戰敗2.0」。因為網路空間 (cyberspace) 和社交網絡，已是無庸置疑的資訊戰戰場，這在遙遠的烏克蘭、法國和我們所關心的台灣都成立。然而，促使網路空間轉化為資訊戰場，卻有尚待各界探討的諸多關鍵因素。

台灣在2018的「九合一之公投綁大選」在網路空間之不實訊息、假新聞等疑似大量多層次系統性資訊戰作為流串，也在台灣的民主防衛上造成了無法抹滅的深遠影響。問題是，到底發生了甚麼事呢？除了獵巫、抓戰犯、決策錯誤等傳統因素之外，我們是否注意到更幽微的強大的戰場，是我們不曾注意的，如社交網絡是如何被武器化 (weaponize) 的？市場動力 (market dynamics) 在這裡扮演了什麼角色？我們無心的瀏覽、分享、留言和按讚等網路行為，又如何被精準打造，成為資訊戰場上的方陣快砲？跨國大型平台的特性，加上中國網路產業的龐大內需市場和經驗，如何影響讓訊息穿透台灣的網路空間？

什麼樣的族群在大選之後會感受到奇怪的戰敗？這當然不用我多說，但還有另外不同的族群，強烈感受的觸發點或許是奇怪的「戰勝」。所以我看這現象時，腦袋裡一開始想的，並不是如何要為幾個特定族群在未來「反擊」或是「求勝」。我心裡的疑問是。

到底在過去幾個月內，台灣的網路空間發生了什麼事，而造成某種普遍失真，失望，或是失信的集體意識狀態？

這個盤繞在心頭揮之不去的「疑問」，或許有點像是2006年美國和英國政府，在發掘透過日益普遍的網路所進行之新型態資訊攻擊時，要開始重新打破自我對新型態攻擊過去認知的挑戰。其中一位赫赫有名者，即是美國空軍上校 Greg Rattray，也就是「高級持續威脅 APT (Advanced Persistent Threat)」一詞的發明人。我們用 Wikipedia 上面的這段描述來和大家說明什麼是 “APT”。

高級長期威脅（英語：advanced persistent threat，縮寫：APT），又稱高級持續性威脅、先進持續性威脅等，是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對特定的目標。其通常是出於商業或政治動機，針對特定組織或國家，並要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素：高級、長期、威脅。高級強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標，並從其獲取數據。威脅則指人為參與策劃的攻擊。

APT發起方，如政府，通常具備持久而有效地針對特定主體的能力及意圖。此術語一般指網絡威脅，尤其是指使用眾多情報收集技術來獲取敏感信息的網絡間諜活動，但也適用於傳統的間諜活動之類的威脅。其他攻擊面包括受感染的媒介、入侵供應鏈、社會工程學。個人，如個人黑客，通常不被稱作APT，因為即使個人有意攻擊特定目標，他們也通常不具備高級和長期這兩個條件。

到這裡為止，可能有些朋友會有新的疑問。我們談的是假消息 (disinformation)，這和假新聞、大眾媒體、社交媒體、媒體識讀有關。怎麼會扯到什麼電腦駭客和電腦侵入？我的電腦好好的啊？我也沒有遇到駭客啊？

這些朋友問的沒錯，事實上，這也是我過去一個月以來見到n個人談到假消息的直接反應。如果各位有興趣，我們試著回想，圍繞在「假新聞」的媒體報導、輿論和各種因應作法，在2018年整年，尤其是在11月24日之前，是不是有絕大比例，都是將假消息當成是「新聞媒體惡意求快」和「閱聽眾個人素養不足」等兩大方向來設想？

我們在這邊試著描述在台灣絕大多數的大眾媒體，在談假新聞現象時，心裡面普遍揣摩的「流程」：

• 有「敵對勢力」在監測台灣社會議題
• 有「網軍」針對特定議題，進行媒體宣傳和操作
• 有「網軍」在特定社交網絡平台上操作
• 有人系統化在製造假消息和內容
• 有人利用不同的人頭帳號，傳播假消息
• 有人相信假消息
• 有人轉傳假消息
• 更多人看到假消息
• 不同議題重複上演，讓社會大眾對議題的認識，淪落到「失真」「失信」，而影響了大選的結果

這個流程當然不是很精確，流程也不一定是從第一步走到最後一步。不過為了利於討論，我們先就此簡單定調。那麼，在這個流程下，有什麼我們應進一步探討，例如那些不容易察覺的「預設認知」呢？

我的揣摩是：

• 「網軍」來自境外
• 「網軍」具有正規編制
• 「網軍」屬於軍隊系統
• 製造假消息的人具有惡意
• 傳遞假消息的人是受騙上當
• 「轉傳」這個動作，是假消息快速在社交媒體得以傳播的助力
• 在行為方 (actors) 部分，有：發動者（網軍）、傳播平台（社交媒體）、閱聽眾（朋友網絡）、受害者（大眾）等角色

這個「預設的認知」不一定是「事實」，但能越詳細描述是越好。這點我們後面會回到這個問題再談。

聰明的讀者可能會發現，這邊所用的詞彙，即使我們嘗試先從「偏愛」傳播媒體的銓釋角度，而不是「網路資訊安全」的「威脅角度」，或是「資訊戰」的「滲透」角度來談，也會不自覺得用到了「網軍」這樣偏向軍事衝突的詞彙。當然，絕大多數所謂的「閱聽眾」不會管這麼多，但對於瀰漫「戰敗」「敗選」感受的利益攸關者而言，在「我們趕快來做什麼事情」的情緒催促之下，是否能精確的描述整個假新聞操作流程和背後的預設認知，就成為了決定各種「因應措施」是否「有效」的關鍵因素。

如果，我們以羅秉成所帶領的小組所提出的「防制假訊息危害」專案報告來看，那個預設認知大概會是如此：

• 假訊息來自於有組織，有系統的攻擊方（暫時不揭露）
• 「受害方」是民主與法治，以及保有這樣價值的社會（例如：台灣）
• 受害方在「境內」

因此，以台灣政府角度而言，解決的途徑之一是：

• 「法律問責的必要性」是「反制」的主要措施
• 假訊息的屬性 (attributions) 是：意圖惡（動機面）、損害危（損害面）、虛假構（特質面）
• 反制策略有兩個維度，一個是自律和他律，另外一個是識假和破假（屬於自律）、抑假和懲假（屬於他律）

羅秉成的這份專案報告，並不是針對「攻擊情境」做描述，而是直接從「防制」的角度下手，所以和前面所談到的，在大眾輿論上能察覺的預設認知，當然是有所差異的。原因很簡單，因為羅秉成代表的不是單純的第三人，是政府。這層出不窮的假消息事件看似在「境內」屢次發生，政府當然要想辦法「保衛」自以為豪的「民主與法治」的價值（或標籤）。羅不是代表軍事系統，所以不會在這個場合和小組談「攻擊構面」，只會談「防衛構面」，也被賦予在各種途徑選擇的模擬之中，先挑選了法律途徑來發展。

聰明的讀者可能暗自竊笑：「這我都知道，但這和 APT 攻擊還是沒有關係啊？還要你說嘛？」

和 APT 還是有關係的，請先別急，我們繼續看下去。

我們剛才不是提到2005年美國空軍上校發明了 “APT” 一詞之後，資安界開始驚醒，原來過去遭受到的這種新型態，有組織，系統性的潛伏攻擊， 所造成的「威脅」是如此的不單純啊！那麼，在網路時代的資訊安全領域，到底是如何了解「奇怪的戰敗」呢？是「誰」要去了解呢？

這兩個問題很有趣，我們回到上一段所談的假消息。試問兩個問題，或許別急著回答，先放在心裡：

• 我們是如何了解假消息的？
• 是誰去了解的？

在網路資訊安全領域，簡單來說，負責分析的角色就是「分析師」。分析師很多種，但就像是工程師、醫師、律師等「師」字輩的角色一樣，專業度不低，訓練期也非常之長。高階分析師和剛入行的，在分析 APT 型態威脅攻擊性態，洞察攻擊方意圖和分析所得情資的水平，兩者是天差地遠的。APT 之所以被稱之為「高級持續威脅」不是沒有道理的，由於潛伏期不定，攻擊型態和步驟不一，造成的威脅和實際損傷規模之估算方式，各個團隊之間的認知也是南轅北轍。也因此很多分析師在分析時非常頭痛。由些攻擊潛伏的週期達到五年以上，連分析師在不在同一個崗位都不知道了，更何況是追蹤和監測威脅？分析師到底遇到了什麼問題呢？

希望有系統性，可重複使用的途徑（方法），進而：

1. 針對具有組織型態威脅的情報，分門別類
2. 在威脅不斷演化時，能持續監測
3. 將一次和另外一次威脅分開檢視
4. 找出因應、反擊和反制之道

聽起來很簡單嗎？一點都不。或許網路資訊安全比較難理解，但我們以大家耳熟能詳的社會議題來看，一個「社會議題在網路上發酵，被假新聞操作到扭曲事實」這樣的表述，到底說了什麼？對於想初步分析的人而言，至少會問更多類似以下的問題：

• 社會議題是什麼意思？
• 這些議題牽涉到什麼專業領域？
• 對於某一個社會議題進行假訊息製造的團體是誰？
• 製造假訊息的成本是？
• 製造假訊息的意圖是什麼？
• 這些訊息我們如何得知是假訊息？
• 這些訊息是如何被識別為假訊息？
• 假訊息的傳遞途徑是？
• 透過哪些平台開始傳播？
• 透過平台上的什麼機制傳播？
• 在什麼時間點在特定平台上，訊息的傳播路徑被放大？
• 用什麼方式放大「聲量」？
• 訊息在24小時內有多少人接收到？
• 接收到假訊息的人，受了什麼傷害？
• 如果收到假訊息的受眾可以稱之為受害者，那麼受害者的面貌是？
• 這個議題所帶出來的假消息和下個議題即將被帶出來的假消息，兩者之間的操作有關係嗎？

我們先在這裡停住，不再問下去。這並不是說因為我們不想認真看待，而是我們即使想要解決一個因為社會議題A所捲起的假消息攻擊（或威脅）活動，至少要先對現況有基本的瞭解。「社會議題透過假新聞在社群媒體上發酵」或是「網軍因為幾個帳號的操作把聲量放大」等類似描述，對於理解實際的「現況」，不只是無濟於事，而且還會持續的阻礙對於「戰況」的了解。

再想想，我們問十個不一樣的人，十個問出來問題的順序都會不一樣。以假消息來說，姑且稱這十個人都是具有「分析」意願的個人，但因為拋出的問題都不盡相同，這十個人背景也相當分歧，再加上在假消息似乎也還沒有「分析師」這樣明顯的角色或職能的誕生，所以要回答這些問題，每一個解答都是困難的。十個人就算同一個時間全部湊在一起，並不會讓這些問題被解決得更快。更多時候，每個人的推敲和解答，只能說是見解，絕大比例都是源自於個人使用社交媒體的經驗，也就是每一個個人所看到的，所感知道的，預設的認知，都是碎片化後的資訊。

這個窘境，在過去一兩個月各大小座談會上，我們都體驗到了不少。這可能和15年前網路資訊安全領域有高度的相似，只是顯然更為複雜，連怎麼談都不知道怎麼談。談完了也什麼事都不會發生。傳播學界談自己的，法學界也談自己的，政治系統談政治，國安系統躲躲藏藏，也不知道他們到底知道什麼事。事實查核類的工具服務受到高度關注，行政院，國會系統則分別有不同的聲音，而傳統電視媒體的談話節目，當然就扯得更遠了。每個人都是受害者，所以每個人都成了分析師。但問題還是如此分歧，到底要怎麼樣才能讓我們把過去和現在看得更清楚？

我舉幾個實際的例子：

• 某君A：這個國安系統有人在看，法律有政委在處理，社交媒體平台也都有溝通，這樣應該夠了吧。不然你覺得應該怎麼做比較好？
• 某君B：歐盟有很好的案例，你看那個網站，上面有超多資訊，我花了很久的時間研究，我們也開過很多次會。網站上面都是權威單位，這樣應該很夠了吧。
• 某君C：我們不涉入真實的查核，我們只是提供一個參與的機制，這個機制很重要，人人都可以參加，至於事實，不是我們所強調的。
• 某君D：我們要的就是要聲量極大化。
• 某君E：我們參考國外具代表性的事實查核機制，並輔以我國的傳播生態需求，依循專業、透明、公正的原則，執行公共事務相關訊息之事實查核。期能抑制不實資訊的負面影響，提升公眾的資訊素養，裨益台灣的民主發展。
• 某君F：我們就學學網路行銷公司是如何操作內容行銷的，以其人之道，快速反制！

這樣問題林林總總，問一百個人會有一百種針對要如何解決的見解，只是，我還是存在一個巨大的疑問：

假消息的威脅行為和活動，到底如何更細緻的分類，如何持續監測（或預警），將不同的威脅事件，快速分開、分解、分析，進而持續累積經驗，發展出短、中、長期的因應之道？

如果「受害者」如此之眾，甚至其嚴重性已經到了威脅「國家安全」層級，那麼我們總能在自己的主客觀環境條件的允許之下，做點什麼事吧？我相信這個問題其實是很多人心裡想問的第一個問題。可是，連哪裡受傷了都不知道，怎麼傷到的也不清楚，而且到底誰是受害者？是「長輩」才是受害者嗎？我不看新聞就不會直接受害，不是嗎？有些人明明在選舉就是受益方啊？某些候選人是哪裡受害了？

好消息是，網路資訊安全領域畢竟發展了數十年，近年來由於網路普及，讓此領域，累積了不少或許在假消息肆虐的時代，也能派上用場專業經驗，例如：

• 威脅獵捕 (threat hunting)
• 事件跡象 (indicators)
• 狙殺鍊 (kill chain)
• 情報分享標準化框架等模型

當然我這邊的意思不是説，只有網路資訊安全的專業，才能在面對 disinformation 發揮效果。各種專業都是需要的，但要知道還有其他專業的具體存在，是在解決整個台灣社會所面臨的威脅所不能或缺的。若有人認為「撿到槍就可以開始戰」的因應方式，是可以大量鼓勵的，那麼法軍在二戰初期莫名其妙被德軍閃擊滅了的歷史教訓，顯然我們還學得不夠。

重新回到上面過去 APT 領域所累積的寶貴經驗，讓我們再次真切回憶，不少分析師在2013年，希望有一種系統性，可重複使用的途徑（方法），這可以讓他們：

1. 針對具有組織型態威脅的情報，分門別類
2. 在威脅不斷演化時，能持續監測
3. 將一次和另外一次威脅分開檢視
4. 找出因應、反擊和反制之道

在2011年和2013年，分別有兩種分析模型被提出，以解決分析師所遭遇的各種問題。一個是源自於 Lockheed Martin 的網路狙殺鏈 (Cyber Kill Chain)，另外一個是入侵分析的鑽石模型 (Diamond Model of Intrusion Analysis)。我們下次找時間，再來一起了解這些原本不是被套用在 “combating disinformation" 情境之下所發展出來的模型，探討是否有派上場讓我們更了解歷史和現況的機會。