台灣政府骨幹網路被攻擊十萬次很嚴重嗎

本篇關鍵字:態勢感知、骨幹網路、安全、大官、小民、政策

前幾天 (1/27) 的自由時報頭版。沒看到還好,看到嚇了一跳。感覺這條揭露行政院〈資通安全網路月報〉的新聞,要搭配幾件事一起看。

盤整各級零星但主要的事件

我們先用時序來看幾件事:

  • 行政院國家資通安全會報第36次委員會議(擴大會議) @ 2020/12/25
  • 行政院釋出〈資通安全網路月報〉@ 2021/1/15
  • 「重新盤點大陸廠牌資通訊設備(急件)」填寫注意事項(案例) @ 2020/12/31?

以及另外幾件不是在這條時序上發展,但也攸關資訊安全的決策和討論,但這些已經是屬於「下游」和「前線」的事件:

有另外兩件事也息息相關,分別在不同層面,在可見的未來將影響政府公務和資訊環境的安全維護作業:

還有一件比較容易忽略的是「美國因素」,去年川普政府的5G乾淨網路計畫有很明顯「牽著台灣走」的發展(例如本宣言)。可是因為美國政府正在交接,很多位子的人還沒補齊,因此今年第一季美國對於在「國家安全」和「供應鏈安全」的政策,對於台灣在資訊安全的影響力道會是如何,目前透過公開資訊不得而知。不過光是關注美國就可以耗掉好幾個團隊的能量。台灣政府習慣用一張剪報一個表格就帶過(例如:第六期國家資通安全發展方案),我們這邊暫時撇開美國因素。

網路好危險 怎麼好像事情很多

是很多沒錯,雖然不算是窮於應付,但利益攸關者實在不容易看出要怎麼跳脫窮於應付寫報告的窘境。報告越來越多,但上級決策單位處理的「頻寬」夠不夠?需要這些「情資」來判斷要如何強化資訊安全聯防體系,這又是如何達到的?經證實的駭侵事件和威脅情資來源本來就不虞匱乏,但要如何運用?這又是另外一門大學問。

資訊安全屬於新興的安全領域,交通安全也是安全領域,國防安全更是安全領域的重中之重。但資訊安全相對來說最不容易被察覺到駭侵,交通安全對民眾而言是最為直接(如:紅燈停綠燈行的安全原則)。國防安全則是近來如台灣防空識別區 (ADIZ) 頻繁遭致「入侵」的訊息,因為國防部一改過去態度積極主動公布,一般民眾才有所感覺。我們可以簡單地說,這叫做態勢感知 (situational awareness) 的過程。Wikipedia 上對於態勢感知的描述是這樣的

對應在時間和空間的環境性元素及事件的知覺,並包括對它們意思的理解,及對一些變數(例如時間或預定事件)改變後的狀態預測。它也是一個學科,專門研究環境中要素的理解對決策的影響,應用在複雜和動態的領域,包括航空、航空交通管制、航海導航、發電廠操作、軍事命令與控制、緊急服務例如滅火及警務,也包括普遍性而複雜的事情,例如駕駛汽車或騎單車。

我們幾乎每一個人都生活都和網路空間有所交集,那麼對於網路空間的感知我們是如何達到的?其實就是你我手上的手機和電腦罷了。但是網路空間的大規模駭侵和威脅,尤其是政府骨幹網路飽受刺探和攻擊這些事,是你我感受的到嗎?

答案當然是幾乎看不到也摸不著。

在實務上,只有幾個單位被授權和擁有資源能接受指導、搜集、分析和派送某些威脅情報 (threat intelligence)。這些情報派送對於利益攸關者有提升威脅感知的效用,對於挑起主動威脅的對方,也有「讓你知道我也知道什麼」的效果。

那麼,在《自由時報》頭版揭露台灣政府骨幹網路在上個月接受到了十萬次的攻擊,這傳遞出來的訊息是什麼?該如何解讀?對不同人而言會有完全不同的意義。自由也刊登了另外兩位專精資訊安全學者的意見:一位曾擔任過「國網」的資安長,另外一位過去是「國研院」的副院長。兩位在政府體系內都有服務的經歷,對於這些威脅樣態的感知,就算目前不是在核心的第一線,至少也會有豐富的處理 (processing) 經驗。

從上面公開揭露的各種事件時序上來看,對於政府機關內負責資訊安全的主責人員而言,當然不會沒有管道知道這些事情。但這種不需要民眾知道的事情上了頭條是好是壞?到底上了頭版對於整體社會的「態勢感知」,會留下什麼印象?這些印象對於「推動」什麼事情會有幫助?哪些人會因為整體社會的「態勢感知」提升或改變,而進一步「受益」或「受害」?

我們也可以想想天天有外國的軍機飛到台灣的防空識別區,你我聽到這訊息,是緊張,還是疲乏了?

原來我的設備就是攻擊政府骨幹網路的跳板?

本來這些和你我都沒什麼關係,但一封十二月底下旬的公文,卻讓整個態勢感知的討論變得詭譎難料。這份傳說中的公文是「重新盤點大陸廠牌資通訊設備(急件)」,在業者之間引起不少驚呼。到底這份公文傳達了出什麼訊息?

我們也不用瞎猜,因為在資訊安全意識和整備度相對薄弱的教育體系,都有了主動的反饋。

「全教產」站在教師立場發出此聲,實在真是難為也。任誰看了公文內容都會飽受驚嚇。公文劈頭而言是:

一、鑒於近期資通安全威脅日益增加,為降低資通安全風險疑慮,爰本院秘書長重申各機關使用資通訊產品之相關原則

    1. 公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體
    2. 個人資通訊設備不得處理公務事務,亦不得與公務環境介接
    3. 各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理,且不得與公務環境介接

學校體系的教職員並非少數,而且鑑於業務的性質,教職員和聘僱人員使用個人資通訊設備處理公務事務,絕對不可能是少數。這份公文來的又急又快,但我「個人資通訊設備」有必要管制到這麼嚴格嗎?這點當然可以討論,但教育體系收到教育部來的公文,這個「態勢感知」是直接用行政通知「壓下來」的, 對教職員生而言,並沒有什麼「感知」的充分準備和時間。況且這個是「相關原則」,我辦不到你又奈我如何?「上有政策下有對策」,這我們還不懂嗎?

教育體系或許也不是資訊安全「規範密度」需要很高的機關,但行政院其他機關?行政院各政務委員的辦公室?對外必須作為聯繫管道的各級發言人室還是秘書處?

本次盤點範圍應為「全機關」、 「委外廠商」 及「分包廠商」 ,而非機關內部之資訊單位或特定單位

這下子不是資訊單位自己的事了。行政機關林林總總數量加起來搞不好接近上萬,委外廠商、分包廠商等從業人員更是不計其數。這份公文的通知在從提高威脅態勢感知的角度來說,可說是達成了目的。不過,下一步是什麼?是不是「上面」看到了什麼事,懷疑什麼事,但我們不需要知道太多,反正按表操課打發打發做了就是?

感覺好可怕 但好像也不會怎麼樣

行政院資安處接受《自由時報》訪問時的說法是:

正聚焦分析「尚需調查類」的情資,必須了解這些是什麼、會不會是新樣態攻擊或大規模攻擊的前奏。

在我看來這傳達出了幾則訊號 (signal):

  • 資安署(數發部)箭在弦上
  • 「資安管理法」修正,我們準備好了
  • 威脅情報 (threat intelligence) 處理的能量嚴重不足
  • 順水推舟,成立資安法人(數發部管轄)
  • 為去年底的急件「盤點資通訊設備」之必要提供有力的說帖
  • 另有不可言說不能猜想的情勢發展?

無論如何,頭版的訊息都不該三兩下就無聲無息。整體社會對這方面的感知,受制於資通訊領域和網路的特性,絕大多數的人都只能看到從自己電腦、手機螢幕由演算法所構成的網路世界。台灣整體社會目前所面臨的安全威脅,我相信在幾大面向的普遍警覺性是有的。但光有警覺是不夠的,不分青紅皂白的警覺也會干擾正常的經濟文化活動。網路空間的特質,讓攻擊行為和威脅不適用於「國內」「國外」的概念分野,其威脅和風險甚至是24小時持續發生。某種比較完整的「安全態勢報告」,某種政府本身已公布的安全戰略(不是工作要點)的辯證,應該是2021年我們必須要注意的重中之重。

這不能以「資安即國安」矇混帶過(編按:國防部都能出 QDR 了)。對了,「網路無國界」,還有其他「跨境」的因素還沒考慮呢。

2 thoughts on “台灣政府骨幹網路被攻擊十萬次很嚴重嗎”

  1. Hi Mr. Schee– I hope all is well with you. My name is Eric and I am an online course designer with Emeritus. We partner with universities like MIT, Dartmouth, Columbia, and the London Business School to create online executive education courses. We are interested in using this diagram [https://imgur.com/a/XaQQ38Q] in one of our offerings and wondering if you would be willing to grant permission of use. Thanks and best wishes, Eric

Leave a Reply to T.H. Cancel reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.