515總統府疑似洩密(或是文件偽造)一案

目的:討論事件發生後一個月要開始做什麼

討論標的:515總統府疑似洩密案

概念:

  • 機密文書處理
  • 電子郵件
  • 電子郵件標頭偽造
  • BYOD 自攜設備
  • CISO 資訊安全長
  • InfoSec 資訊安全
  • ComSec 通訊安全
  • OpSec 行動安全
  • Forgery 偽造
  • Initial Movement 初期入侵
  • Credential Harvesting 竊取憑證
  • Lateral Movement 水平擴散
  • Remote Access 遠端存取
  • Data Exfiltration 數據外洩
  • Disinformation 假消息
  • BS7799 資訊安全管理標準(參考解說
  • Executive Order 13526 行政命令

一些觀察和探索如下。

(一)資訊安全不是所有的重點:本次事件的「資訊安全」面向只是部分,但非攻擊行為的全部構面。透過資安途徑檢視本次資料外洩(或是偽造文件攻擊),在未來懇切需要重視,但非唯一。「安全問題」不只有資訊安全,甚至用單純從資訊安全概念來看,在此案會有誤導的可能性。或許我們在討論時要盡量分清楚,例如還有

  • 通訊安全:不一定和資訊系統有關,例如密等文書,手記小抄,通訊線路的安全等
  • 行動安全:也不一定和資訊安全有關

(二)所託非人或根本沒有人:政府資訊(安全)長 (CISO) 多半為副首長兼任,這在2016年前後曾有輿論希望政府「資訊長」制度能夠落實。原因不少,主要是現代資訊領域複雜且需要多重高度專業。資訊系統發生問題,通常會大幅影響單位的運作甚至是生存安全。一如有規模的企業內其「法務長」和「財務長」不可能找毫無專業之人兼任,那麼茲事體大的國家安全體系(如總統府),怎可能以兼任代之?上一任的兼任資訊長是總統府副秘書長,目前誰在此位尚且不明。體制和職涯發展上對資訊安全或是廣義的安全不予重視,間接導致了今日 “TWOoPLeaks” 之遠因。

美國海軍部在《海軍資訊優勢願景2020》寫得解決思路比較清楚,但請撇除具有「攻擊意涵」表述的部分,因為國安團隊不是軍隊。部分段落摘要:

  • 資訊人才招募與培訓流程嚴重過時。美海軍部過時的資訊系統和培訓流程難以培養高素質資訊人才。
  • 培養資訊人才美海軍部應建立由數位創新中心構成的生態系統,共享解決方案,避免重複工作;應強化網路空間戰備意識,培養「網路空間今夜就戰」的理念,使海軍部所有人均成為網路空間的哨兵;部署持續審核能力,一旦發現網路空間漏洞,可及時採取糾正措施;
  • 暢通資訊人才晉升通道,使擅長資訊技術的人員可被快速提拔。傳輸和防護。網路必須保護數據不被攔截、過濾或損壞,並在戰術前沿緩存任務關鍵數據,同時與上級總部共享態勢感知資訊,建構無縫資訊生態系統。

(三)BYOD 自攜設備:這問題可能一直很大,在過去我不清楚國安單位的政治幕僚是怎麼做的,但政治幕僚的通訊習慣和行動安全,自攜設備的管理,有沒有人管理,有沒有錢管理,都不是小問題。這方面的「安全投資」不能不在意。

(四)退役(或退出)國安人員的管制:有前國安會人士公發布觀察。我們或許可以如此解讀:

  • 國安會一直是幕僚,在「現代安全觀」的建立和努力,過去四年來看,決策單位可能採用的程度不高(原因不明)
  • 相關安全人員在「除役」「退出」後,目前管制作為或是管制不具任何法律或實質效力

(五)資安即國安?政治幕僚可能多數真的不知道什麼叫做現代國家安全等級的資訊安全(或是通訊安全和行動安全),但政治溝通是絕對必要的。越是高階的文官,對於威脅型態的認知可能更是缺乏。另外,過去「一○六年府會資安週—資安即國安」活動,刑事局所贈之USB隨身碟被發現內有木馬程式,此即為重大資安事件。這是警訊,可能不是單一事件。

(六)訊息密等的認定、建立、管制和交換的現代化:「密等」分類和管理必須往「原子化」的方向進行,不是只有「公文」「卷宗」,要能涉及內文的資訊和安全「訊號」的遮蔽、加密和管理,而且在作業上要合乎台灣所面臨的威脅型態來建立,更要考量到和不同安全體系如何交換的對接關係。別忘了,這些安全體系還不只是指台灣的人士和單位而已,例如 “markings system” 要如何讓訊息的另外一方理解和方便進行內部管理管制等。

(七)衝擊或損害報告 (Impact Assessment or Damage Report):國外政府和各政黨在過去十年歷有各種不同型態的洩密、文件偽造和聲譽的攻擊事件,他們是如何在3/12/24/72小時內做出第一時間反應和損害評估,如何保存跡證以利快速反制第二波和第三波的駭侵行為,相關的做法和案例多到滿出來,不參考很可惜(如 Guccifer 2.0 或是 GAO 報告翻一下)安全體系內應該要有人精熟這一段。

(八)社交網絡的人格繪製 (profiling):內行的都知道,相關的公開討論不要在社群網絡進行,越熱烈的討論可能只是讓威脅的勢力(無論是境內境外)更容易繪製支持群眾面相、描繪網路意見領袖和各帳號節點的反應,讓後續以偽造 (forgery) 文件手法的攻擊途徑,更容易評估如何擴大或是轉進,選擇下一波的攻擊組合。

(九)電子郵件:目前看不出來是如何,因為這三種狀況的威脅程度是不一樣的,媒體報導能分清楚會幫上不少忙

  1. 情境一:總統府電子郵件標頭的遭致偽造,以此電子郵件帳號寄送匿名郵件,夾帶 PDF
  2. 情境二:還是透過外部郵件 (Gmail) 寄送給特定媒體偽造文件
  3. 情境三:還是電子郵件系統內某帳戶遭致駭侵,透過帳戶發送匿名攻擊郵件

(十)未來要怎麼走:政治幕僚和政務人員的問題不會很小,尤其是目前台灣政府越來越依賴社群網路服務和 P2P messenger 交換訊息和宣傳,在我看來這是頗為嚴重的遠憂,這點大概要認真想想

以上。

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.