資安做得好只能讓數位身分證達到10分(滿分是100)

由於在不明的未來可能也會被迫(或是以歡樂的心態)換發晶片身分證,所以我等國民都算利益攸關者,發表看法應無傷大雅。目前在台灣浮現在檯面的有四路談法:

第一路:人權、法治、隱私路線,在這 https://sites.google.com/tahr.org.tw/anti-eid-petition

第二路:開放、透明、資訊安全,在這 https://www.eid.tw/

第三路:國家數位基礎建設的系統工程路線,能談得人少,可能要有麥道、洛馬等級的經驗才能談得出來,在這  https://talk.ltn.com.tw/article/paper/1360698

第四路:比較像是國防產業(發展條例)、中科院和國防產業發展協會遇到的問題,我引用媒體的一段話如下……

但業者會後私下抱怨連連,認為未能區分機敏零組件,要全面切斷中國市場並不合理,況且就有在兩岸做生意的軍火商,於重大建案中居主導地位。再加上會員已不斷流失,還要建立淘汰機制,不符合協會把餅做大的目的。

所以我們至少有幾大項的評分標準:

  1. 開放源碼(例如能程式碼能稽核能公開接受檢驗)
  2. 透明課責(例如計畫不能先於立法,程序前後的問題)
  3. 資訊安全(內政部的解釋算在這裡
  4. 人權保障(例如包含弱勢族群是否能用 or 數位包容等)
  5. 法治基礎(例如是否合憲等)
  6. 隱私保護(例如經手之人有誰,這些人能看到什麼,什麼該被數位化)
  7. 系統工程(例如技術路徑的依賴和切換等)
  8. 風險管理(例如資料外洩如何追溯和補償等)
  9. 供應鏈安全(例如硬體元件、軟體、資料託管和服務商等人員管制,遇到 COVID19 哭哭等)
  10. 電子化政府
  11. 數位經濟
  12. 國家安全和發展

這樣總共有12大項。資安做好做到底,大概就是拿10分。但台灣能談第3項資安的人多,學者多,媒體ok,產業能量也比較豐富,其他2到11項,4和5比較有悠久歷史,6常被夾帶在其他議題裡「當小」的。7, 8, 9 大概如前所述,如果做到洛馬波音和麥道等級就會有經驗,在台灣只要碰到軟體和服務面,當然就很容易撞牆。10有很強大的結構,也是本次全面換發支持的主流,11似乎還是誤打誤撞的狀態。12則是不能說。

全面換發怎麼看都很難及格。

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.