除了武漢肺炎之外,五月在台灣最值得關注的是幾件攸關「安全」的重大事件,雖然不是所有安全事件都會和資訊安全有關,但這幾件事都有資訊安全的成分在內。
- 經濟部:國營企業中油遭致勒索病毒成功滲透和攻擊,估計至少將近有八千台感染
- 總統府:黑函/偽造/洩密事件
- 國會:立法委員遭致釣魚郵件攻擊
- 國防部:資通電軍指揮部數年前舊事重新見光(漢光演習扮演紅軍一案)
- 外交部:17個駐外館處執行資安健檢,取得19個駭侵樣態
- 整體社會:2000萬筆國民個人資料暗網流通一案
這六個案子也未免太「完整」。有些是今年五月才被揭露,事件發生的時間點可能是去年或前年。有些事件則是要達到如此程度的駭侵,其潛伏的時間不知道多久,但極有可能不是在過去幾年,資訊系統已經遭致潛伏滲透。
撇開時間點的巧合,這幾個案子是:
- 三案和總統職權有關(總統府、外交、國防)
- 一案是國會(立法院)
- 一案是基礎建設(或是稱為關鍵基礎設施)
- 一案是關乎整體社會(超大量個資)
任何一個國家在一個月內發生(或被揭露)這六件事,都是防線瀕臨崩潰的前兆,或是防線已經階段性被裂解,要重新接起來不只耗時費日,更可能還有未被攻破的防線尚未被發掘。如果此系列事件發生在G7諸國,各媒體的報導會是鋪天蓋地,連專業領域的媒體也會接力發掘真相。但由於事件主要發生點是台灣,台灣雖然拜疫情控制得宜之賜,在國際媒體的曝光量完勝過去幾年,但是涉及安全事件的新聞,一來有理解的門檻,二來訊息紛亂且不完整,三來國際媒體對台灣政府資訊安全的了解近乎於零,四來缺乏管道,五來有語言障礙。所以這系列事件沒有在國際媒體普遍見光,是好事,但也是壞事。
中油此案我們還不知駭侵的動機為何,通常牽涉到關鍵基礎設施(如能源、水力、醫療等)的各種網路攻擊,都是非同小可。勒索病毒雖非實體攻擊 (kinetic attack),但卻可以造成非常大的攻擊效果。這等層面的攻擊有商業和政治目的兩種,這兩種也可能混合交織。如果是實體攻擊(如傳統武器),那更是武力衝突的前戲。後者整個國家的防衛體系就必須介入,而介入的手段選擇,則可能有政治判斷的成分。但遭受到成功的網路攻擊 (cyber attack) 後要如何「反擊」,這點在台灣的政治決策領域或許完全沒有演練過。尤其是在520之際,國家安全體系也在面臨重整,中油這次事件,我們完全沒看到對攻擊方要如何「反制」的意識和作為的實質展現,甚至連討論的意願都付之闕如。
這是不可思議的,在有些國家甚至是不可原諒的。
接下來是總統府/黑函/偽造/洩密一案。這件事根據已公開但仍然是紛亂的訊息來判斷,當然是精細的操作。這次「攻擊」的資訊技術成分可能不高,但在操作技術上則非一般駭侵發起方所能為之。同樣的,攻擊事件到了總統府這個層級,如果資訊技術成分不高,那麼就有兩個問題:一來是總統府的資訊安全環境在某幾種威脅情境之下,抵禦力極差;另外一個是,資訊安全政策或許非常嚴謹,但和第三世界國家一樣,「官大學問大」,沒人敢請高階政治幕僚遵循安全政策。這兩種都有可能,我們在這沒辦法說原因為何。
如果攻擊的資訊技術成分高且複雜,那沒什麼好說的,只有一個結論,就是防線已經崩潰。但目前看來還不是如此。我們只能說,這件事情沒有個完整的報告和說法,這心中的問號只會繼續累積。更何況,這是在總統府層級,和總統府打交道的人(也可能是外國人和盟邦友人),如果他們也知道總統府的資訊安全政策和環境不是一個完全可以信任的空間,這在未來顯然不是好事。
立法委員收到的釣魚郵件攻擊,也不一定是和總統府一案來自同樣的攻擊團隊。很多攻擊手段並不難模仿,而釣魚郵件和偽造寄信方的攻擊型態,更是常見。立法委員因為職務型態,他們所處的資訊安全環境,無論是在正式的工作環境或是個人的工作空間,可說是比一般企業來得更容易暴露在各種型態的攻擊之下。在不少歐洲國家,國會議員通常是「很甜」的目標。台灣的立法委員是不是很甜「很補」的目標?當然也是。國會在一個民主國家當然很重要,讓一個國家的國會或是關鍵的國會議員無法「正常運作」的後果是什麼?大家可以發揮想像力,或是多看看歐洲、南美等諸國遭受到網攻之後的各種案例。
國防部漢光演習此案也屬於無法理解的領域。不過這是舊案(青年日報報導),搞不好已經獲得某種程度的解決,我們一樣無從得知。此案很明顯和上述重大安全事件的受害狀況完完全全不同。或許只有做過攻防演練,扮演「紅軍」「藍軍」,而且和台灣軍方的演習體系玩過的,才有機會知道事件。重要的事,此事涉及資通電軍指揮部,也就是「攻守一體」的「網路軍隊」編制。資通電軍指揮部成軍之後發生了不少事件,而這次被揭露的陳年舊案,則是在成軍不久所發生的。但涉及軍方,在很多國家屬性相同的重大安全事件,多半短期內我們也不會知道詳情。
外交部的部分可以看出國報告資料,或是2018年甫完成某種系統建置的說明。外交部駐外單位和人員所待的環境,可說是比國會議員更為複雜。而他們能夠自主掌握的環境條件又更少。換句話說就是,外交部可能是最容易遭受到各種奇形怪狀駭侵的受害者,而「資訊」「安全」在外交部體系內,過去大概從來沒有獲得足夠的關注,安全環境建置的投資,也遠低於標準。
過去外交部很低調,一般國民也不會感受到外交部的存在。拜美中貿易戰和武漢肺炎全球肆虐的「機會」,外交部的各種作為,突然變得非常即時和「顯性」。顯性就容易成為目標,尤其是在多方衝突和競逐議程設定 (agenda setting) 的國際場合。外交部弱,國力的投射就弱。外交部的安全事件多,那國力投射的路徑就能被快速預測,甚至是使其失效 (neutralize),削弱外館的能量,任制危害的國家的利益。
以上的威脅都不比2000萬筆個資來的驚悚,這我在前一篇短文沒有多做說明,原因是不敢再推敲下去。總體來說,過去四年為了達到「資安及國安」所揭示的目標,達到了長足的進步。但很遺憾的是,四年一任期不足以把事情做到及格,在五月份被揭露的這幾個重大安全事件,每一次都攻擊都成功達到了不同的目的,每一次攻擊都規模都越來越龐大,攻擊的面向越來越全線完整。但我們每一次所獲得關於重大安全事件的訊息卻是越來越少。中油一案,兩週的激烈討論後似乎沒這件事發生一樣,總統府黑函/偽造/洩密事件也大約是兩週。如同我本文最前面所說,在任何一個正常的國家,一個月發生這些事情,早就表示防線已經崩潰。
崩潰還能保有普遍無感的原因是什麼,這才是更大的危機。如果我是友邦,我會很擔心你台灣到底行不行。如果我是台灣的國民,我會開始想說要怎麼自保(還是乾脆放棄自保)。這態度顯然很消極,但希望不會加速走到這一步。
T.H. Schee 