台灣政府骨幹網路被攻擊十萬次很嚴重嗎

本篇關鍵字：態勢感知、骨幹網路、安全、大官、小民、政策

前幾天 (1/27) 的自由時報頭版。沒看到還好，看到嚇了一跳。感覺這條揭露行政院〈資通安全網路月報〉的新聞，要搭配幾件事一起看。

• 政府骨幹網路遭攻擊 上月近10萬 機關非核心業務系統也成駭客目標
• 政府骨幹網路遇襲 上月近10萬件》學者：網軍攻擊 連窗戶都找漏洞

盤整各級零星但主要的事件

我們先用時序來看幾件事：

• 行政院國家資通安全會報第36次委員會議（擴大會議） @ 2020/12/25
• 行政院釋出〈資通安全網路月報〉@ 2021/1/15
• 「重新盤點大陸廠牌資通訊設備(急件)」填寫注意事項（案例） @ 2020/12/31?

以及另外幾件不是在這條時序上發展，但也攸關資訊安全的決策和討論，但這些已經是屬於「下游」和「前線」的事件：

• 台灣大哥大的A32事件 @ 2021/1/06
• 區間測速傳資安、道安疑慮 林佳龍拍板先下架 @ 2021/1/16
• 【國家應介入資安管理】盡速拆除校園空氣盒子 @ 2021/1/28

有另外兩件事也息息相關，分別在不同層面，在可見的未來將影響政府公務和資訊環境的安全維護作業：

• 數位發展部、資安法修訂以及「資安署」等一干情事（立法院的組織設計研析）@ 2020/12
• 強化資安國安戰略 國安會提三大工作重點 @ 2020/12/17

還有一件比較容易忽略的是「美國因素」，去年川普政府的5G乾淨網路計畫有很明顯「牽著台灣走」的發展（例如本宣言）。可是因為美國政府正在交接，很多位子的人還沒補齊，因此今年第一季美國對於在「國家安全」和「供應鏈安全」的政策，對於台灣在資訊安全的影響力道會是如何，目前透過公開資訊不得而知。不過光是關注美國就可以耗掉好幾個團隊的能量。台灣政府習慣用一張剪報一個表格就帶過（例如：第六期國家資通安全發展方案），我們這邊暫時撇開美國因素。

網路好危險 怎麼好像事情很多

是很多沒錯，雖然不算是窮於應付，但利益攸關者實在不容易看出要怎麼跳脫窮於應付寫報告的窘境。報告越來越多，但上級決策單位處理的「頻寬」夠不夠？需要這些「情資」來判斷要如何強化資訊安全聯防體系，這又是如何達到的？經證實的駭侵事件和威脅情資來源本來就不虞匱乏，但要如何運用？這又是另外一門大學問。

資訊安全屬於新興的安全領域，交通安全也是安全領域，國防安全更是安全領域的重中之重。但資訊安全相對來說最不容易被察覺到駭侵，交通安全對民眾而言是最為直接（如：紅燈停綠燈行的安全原則）。國防安全則是近來如台灣防空識別區 (ADIZ) 頻繁遭致「入侵」的訊息，因為國防部一改過去態度積極主動公布，一般民眾才有所感覺。我們可以簡單地說，這叫做態勢感知 (situational awareness) 的過程。Wikipedia 上對於態勢感知的描述是這樣的：

對應在時間和空間的環境性元素及事件的知覺，並包括對它們意思的理解，及對一些變數（例如時間或預定事件）改變後的狀態預測。它也是一個學科，專門研究環境中要素的理解對決策的影響，應用在複雜和動態的領域，包括航空、航空交通管制、航海導航、發電廠操作、軍事命令與控制、緊急服務例如滅火及警務，也包括普遍性而複雜的事情，例如駕駛汽車或騎單車。

我們幾乎每一個人都生活都和網路空間有所交集，那麼對於網路空間的感知我們是如何達到的？其實就是你我手上的手機和電腦罷了。但是網路空間的大規模駭侵和威脅，尤其是政府骨幹網路飽受刺探和攻擊這些事，是你我感受的到嗎？

答案當然是幾乎看不到也摸不著。

在實務上，只有幾個單位被授權和擁有資源能接受指導、搜集、分析和派送某些威脅情報 (threat intelligence)。這些情報派送對於利益攸關者有提升威脅感知的效用，對於挑起主動威脅的對方，也有「讓你知道我也知道什麼」的效果。

那麼，在《自由時報》頭版揭露台灣政府骨幹網路在上個月接受到了十萬次的攻擊，這傳遞出來的訊息是什麼？該如何解讀？對不同人而言會有完全不同的意義。自由也刊登了另外兩位專精資訊安全學者的意見：一位曾擔任過「國網」的資安長，另外一位過去是「國研院」的副院長。兩位在政府體系內都有服務的經歷，對於這些威脅樣態的感知，就算目前不是在核心的第一線，至少也會有豐富的處理 (processing) 經驗。

從上面公開揭露的各種事件時序上來看，對於政府機關內負責資訊安全的主責人員而言，當然不會沒有管道知道這些事情。但這種不需要民眾知道的事情上了頭條是好是壞？到底上了頭版對於整體社會的「態勢感知」，會留下什麼印象？這些印象對於「推動」什麼事情會有幫助？哪些人會因為整體社會的「態勢感知」提升或改變，而進一步「受益」或「受害」？

我們也可以想想天天有外國的軍機飛到台灣的防空識別區，你我聽到這訊息，是緊張，還是疲乏了？

原來我的設備就是攻擊政府骨幹網路的跳板？

本來這些和你我都沒什麼關係，但一封十二月底下旬的公文，卻讓整個態勢感知的討論變得詭譎難料。這份傳說中的公文是「重新盤點大陸廠牌資通訊設備(急件)」，在業者之間引起不少驚呼。到底這份公文傳達了出什麼訊息？

我們也不用瞎猜，因為在資訊安全意識和整備度相對薄弱的教育體系，都有了主動的反饋。

• 政院要求公務禁用中國製手機 全教產呼籲政府免費提供公務機

「全教產」站在教師立場發出此聲，實在真是難為也。任誰看了公文內容都會飽受驚嚇。公文劈頭而言是：

一、鑒於近期資通安全威脅日益增加，為降低資通安全風險疑慮，爰本院秘書長重申各機關使用資通訊產品之相關原則

1. 1. 公務用之資通訊產品不得使用大陸廠牌，且不得安裝非公務用軟體
   2. 個人資通訊設備不得處理公務事務，亦不得與公務環境介接
   3. 各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理，且不得與公務環境介接

學校體系的教職員並非少數，而且鑑於業務的性質，教職員和聘僱人員使用個人資通訊設備處理公務事務，絕對不可能是少數。這份公文來的又急又快，但我「個人資通訊設備」有必要管制到這麼嚴格嗎？這點當然可以討論，但教育體系收到教育部來的公文，這個「態勢感知」是直接用行政通知「壓下來」的， 對教職員生而言，並沒有什麼「感知」的充分準備和時間。況且這個是「相關原則」，我辦不到你又奈我如何？「上有政策下有對策」，這我們還不懂嗎？

教育體系或許也不是資訊安全「規範密度」需要很高的機關，但行政院其他機關？行政院各政務委員的辦公室？對外必須作為聯繫管道的各級發言人室還是秘書處？

本次盤點範圍應為「全機關」、 「委外廠商」 及「分包廠商」 ，而非機關內部之資訊單位或特定單位

這下子不是資訊單位自己的事了。行政機關林林總總數量加起來搞不好接近上萬，委外廠商、分包廠商等從業人員更是不計其數。這份公文的通知在從提高威脅態勢感知的角度來說，可說是達成了目的。不過，下一步是什麼？是不是「上面」看到了什麼事，懷疑什麼事，但我們不需要知道太多，反正按表操課打發打發做了就是？

感覺好可怕 但好像也不會怎麼樣

行政院資安處接受《自由時報》訪問時的說法是：

正聚焦分析「尚需調查類」的情資，必須了解這些是什麼、會不會是新樣態攻擊或大規模攻擊的前奏。

在我看來這傳達出了幾則訊號 (signal)：

• 資安署（數發部）箭在弦上
• 「資安管理法」修正，我們準備好了
• 威脅情報 (threat intelligence) 處理的能量嚴重不足
• 順水推舟，成立資安法人（數發部管轄）
• 為去年底的急件「盤點資通訊設備」之必要提供有力的說帖
• 另有不可言說不能猜想的情勢發展？

無論如何，頭版的訊息都不該三兩下就無聲無息。整體社會對這方面的感知，受制於資通訊領域和網路的特性，絕大多數的人都只能看到從自己電腦、手機螢幕由演算法所構成的網路世界。台灣整體社會目前所面臨的安全威脅，我相信在幾大面向的普遍警覺性是有的。但光有警覺是不夠的，不分青紅皂白的警覺也會干擾正常的經濟文化活動。網路空間的特質，讓攻擊行為和威脅不適用於「國內」「國外」的概念分野，其威脅和風險甚至是24小時持續發生。某種比較完整的「安全態勢報告」，某種政府本身已公布的安全戰略（不是工作要點）的辯證，應該是2021年我們必須要注意的重中之重。

這不能以「資安即國安」矇混帶過（編按：國防部都能出 QDR 了）。對了，「網路無國界」，還有其他「跨境」的因素還沒考慮呢。