討論事件:515總統府駭侵事件(由於此事件沒有統一命名,暫時如此稱呼)
目的:推想如果你是連帶利益攸關人,懷疑自己在通訊安全 (ComSec) 和資訊安全 (InfoSec) 層面也遭致不明之駭侵,大概要如何做出立即的反應?
由於事件本身之起因仍是眾說紛紜,而且損害狀況不明,我們只能從 (a) 媒體報導 (b) 總統府相關發言訊息,還有 (c) 專業(或不專業)人士的公開討論等來猜想發生了什麼事。你的團隊過去曾經和總統府幕僚和核心團隊開過會,也互相通過電子郵件(無論是來自府方的帳號或是府方的私人帳號)。雙方(或是涉及府方的多方)之通訊往來也會使用即時通訊軟體服務。在訊息紛亂不明的情況下:
- 你當下要如何反應?需要什麼來自府方內部或是外部的協助?
- 如何評估自己是否在駭侵事件的影響範圍內?
- 如何保護自己和團隊在事件結束後的通訊和資訊安全?
本篇引用概念:
- 受攻擊面 (attack surface)
- 連帶利益攸關人 (fringe stakeholders)
- 可供辨識個人的資訊 (PII – personal identifiable information)
你心中應該要持有什麼問題?
(一)要問清楚受害者是不是只限於府內:普遍輿論都以為受到駭侵的受害者是總統府和幕僚,但和府內幕僚共事的,不一定是府內的人。如果幕僚的私人電腦可以遭致竊取資料,那麼和幕僚通信的外部單位,是否也可能已經是受害者?這個疑問你應該放在心內,而且最好不要僥倖,要有一個時間點能達到答案。但是……
(二)要知道我可以得到來自府方和刑事局的什麼協助:府方到目前為止(事件發生後四天)並沒有明確的公開的損害報告,但這是正常的,原因是此案涉及高度政治性,第一時間本來就很難了解損害面有多廣多深。二者事件發生的時間是週五下班,就算第一時間內部啟動應對機制,隨後(週六)允許和刑事局報案(偵四),也是等到週一才有對的單位啟動調查(如偵九),動手蒐集應該蒐集的電磁資料。對於連帶利益攸關人,確切了解發生什麼事,可能都要等到一週之後了(或是永遠沒有下文)。三者是,由於時機接近520,為了避免影響國內情勢,必要的反情報措施 (CI) 可能也必須介入。如果怕被連帶影響,那麼急於透過媒體報告了解「事實真相」,搞不好還會聽到互相矛盾,不合邏輯和實情的說法。
(三)要小心好奇心殺死了貓:過去我們也看過不少案例,例如在網路上隨意尋找和下載被再度被偽造的文件,開啟後造成自己的電腦中毒。你可能因為好奇從不明網站下載了號稱媒體收到的PDF檔案,但下載後才發現(或沒有發現)原來電腦裡已經安裝了惡意程式,讓駭侵繼續擴大。
(四)循政治管道了解實情:這點大概是最難的,因為就算府方已經完全掌握了事情的面貌,也擬好了對外的多層說法,但你並不是核心幕僚,卻是有可能的連帶受害者。你在府方的窗口要不要跟你吐露實情讓你可以判斷上述三個問題,你的窗口是不是有被授權知道「真相」,這件事真的很難說。比較好的方法可能是開始對於資訊和通訊安全的知識進行具體投資。或許你會馬上需要完全改變電腦、文書和通訊的作業習慣,採買新的隨身電腦或平板,或是搞清楚私人電腦該如何和公務電腦之間安全的交換訊息(雖然作業辦法不允許,但對不起,老闆沒錢幫你買公用電腦)。因為你不知道你什麼時候會面臨同樣型態的攻擊,所以能藉由此機會提早準備都是好的。
(五)可能受到的連帶駭侵影響為:
- 被以不當的方式偽造敏感的訊息(造成誤判)
- 被以不當的方式揭露、修改或是刪除敏感的訊息(造成檔案消失)
- 被植入惡意程式,讓電腦成為攻擊的跳板(電腦越跑越慢?)
- 隱私收到侵害、情緒和聲譽的損失(上報了)
- 損失公眾的信任
- 需要付出高額的代價恢復到尚未遭受駭侵前的運作狀態
我覺得連帶了利益相關人也會面臨不同的威脅,但畢竟這些人更為分散,因此適時的注意應該是必要的。簡單交流如上。
T.H. Schee 