台灣的調查局 #MJIB 和美國 @FBI 號稱「聯手」破大案是沒錯,不過六萬名「受害者」含冤未雪也不知道是誰。
是美國司法部聯邦調查局所公開起訴報告說的:
- Remarks by Deputy Attorney General Jeffrey A. Rosen at an Announcement of Charges and Arrests in Computer Intrusion Campaigns Related to China
- Seven International Cyber Defendants, Including “Apt41” Actors, Charged In Connection With Computer Intrusion Campaigns Against More Than 100 Victims Globally
- APT 41 GROUP
受害者來自不少國家,當然也包含了台灣的能源公司(應該是中油)。但起訴書提到一所台灣的研究型大學也是受害者之列,這點倒是沒有什麼進一步的討論。
研究型的大學在台灣並不多,能有「六萬多名」更是屈指可數。這件事可以給我們一些對於台灣「非傳統安全」現況有著比較貼近事實的討論:
- 教育機構應該是最軟最好攻擊的目標之一,因為大學在資訊安全防護的投資和落實,在全校的重要資訊系統(如人事、薪酬等)部分,可能一直是低度安全投資的狀態。
- 研究型大學更是具有高價值的目標,尤其是在科研人力背景的長期搜集部分。
- 起訴書內說有個人影像,在台灣而言,這些可能是教職員和學生去相館照相後,所取得的高解析影像,再透過線上和線下途徑,繳回相關管理單位。由於這些照片是人事檔所必備的資料,正面高解析的影像,對於情資搜集的「助益」極大,可補足從社交媒體不容易蒐集到的「正規」、「乾淨」影像的「不足」。
- 台灣政務體系特有的學界和政界直接相通的人事管道:很多政務官退下來就去教書,教書教到一半又去當官。要透過公部門資料庫搜集這些人事資料,或許風險比較大。但從學校系統來搜集,就減少了這項「疑慮」。
- 學校各系所的電子郵件系統大概是最常被駭侵之標的,但如果要建立完整的「人名錄」,還是要從這種全校的人事系統去拿資料比較「方便」。而且針對年輕人的資料,長期蒐集,以後會派的上「用場」。
當然,相較於台灣,美國司法部這種跨國網路駭侵犯罪的起訴內文,細節清楚很多,但更細緻的受害細節從公開管道還是看不到,因此以上只是推估。台灣政府沒有專責的個資機關,網路緊急應變中心和司法單位針對此案公開發言希望可以期待。破案歸破案,但大學的「受害者」是?
我們目前可以確定的是:
- 在台灣網路犯罪的追查,如果是集團跨境所為,常常還是需要美國政府「協助」揭露。
- 對台灣的民眾而言(此案有很多,這裡只講大專院校教職員和學生),這種駭侵不會有救濟管道,連是不是受害者也不會有機會知道,更別說學校在個人資料的保護政策了。這點體認最好提早持有,對於了解台灣非傳統安全防護的現況(如資訊安全、資料安全等),會有「量子式」的躍進。
以上簡述。
T.H. Schee 