先說結論:看到《天下》雜誌的這篇報導「昔日被抓的台灣白帽駭客 如何當上亞馬遜資安總監?」有幾點感受:
- 台灣人才來源和面貌多元
- 台灣沒有場域發揮
但這些都是我們在生活中之都可以理解的常態。過去這不少任職於美商以技術進階到管理職出色的,在2013年之後有幾個人,後來都成了一方之霸的公眾人物。他們分別是張善政 (Google)、翟本喬 (Google),近期的杜奕瑾 (Microsoft) 和最新的陳浩維 (Amazon)。這幾位在職涯表現出色的人,都可歸類到非典型的發展路線,但共同點是有超然的技術能力、二來在某個生涯點算是傳統「成功學」定義下的成功,三來都是男性,四來都愛台灣想奉獻土地。而在「回到」台灣之前,媒體都先有不少篇幅的報導。後來和政府之間的關係也保持的不錯,在公領域有所建樹。
不過我這裡不談私事,而是和公共利益比較有關的公共事務。訪問內文的最後一段,我認為最值得討論:
李漢銘期待,陳浩維可以結合他的白帽駭客人脈,組成「海外資安義勇軍」,「一旦台灣需要幫忙,例如假如有一天台灣的關鍵設施被攻擊時,國外技術、駭客專家人才,可以遠距支援!海內外專家可聯手快速去分析、協助、解決問題。」(責任編輯:吳廷勻)
這裡有幾個訊號,一個是在國安會有海外專家小組的成立。李漢銘現任國安諮委,一般民眾對國安會如何運作比較不清楚,但「好加在」還是有些文件和報導可以窺其運作,多多討論研究。諮詢委員屬於幕僚性質,這個海外專家委員會要能成立,勢必不是一位諮詢委員說好就能上路。過去半年沒有在媒體報導中看到這個委員會的編制,我猜測應該是最近的事。這點我們先記在心上。
第二點是「白帽駭客」這個概念。這我不多介紹,有興趣的朋友可以逕自查詢搜尋引擎,取得完整的解釋。
第三點是台灣的「關鍵設施」被「攻擊」時,這裡說的關鍵設施指的是油、水、電、醫療等主要的大型基礎設施,而攻擊的型態指的是「網路攻擊」,並非傳統軍事意義上的攻擊。這種攻擊如何認定又是另外一門學問,我們先把問題點提出來留待後續討論。
第四點是遠距支援。為什麼要遠距支援?為什麼可以遠距支援?因為整個概念是「海外資安義勇軍」,從李諮委的談話之中,我們知道會在某種「交戰條件」的授權之下,這些「海外資安義勇軍」會和國內的「專家」「聯手」去進行受指派「任務」。
這件事從媒體的角度聽起來或許想當然耳,但從實務切入,顯然有不少「介面」要處理。
比如說,「指揮鏈」的掌握是如何?是誰可以指揮?誰能分派任務?任務的分派是從什麼單位出去?是行政院即將成立數位發展部資安署?資安署可以派人插手管到經濟部底下的核電廠?那個協調的介面是什麼?那個協調的介面出了境內的公務環境又會是什麼?
這些納編的「資安義勇軍」是如何招募的?什麼單位招募的?有沒有利益關係的衝突?比如說,我在美國的 Amazon 任職,我可以利用下班時間,接受其他國家法定情報機關的指揮,進行網路衝突的防衛任務?我下班時間擔任「海外資安義勇軍」,難道現在有的工作簽證不會被吊銷嗎?這些招募而來的「資安義勇軍」在內部的安全許可 (security clearance) 取得狀況是什麼?課責 (accountability) 的部分有什麼框架可以借用嗎?講白話,不同段的責任是誰在背?
更進一步來問,如果需要解決的重大問題必須透過「海外資安義勇軍」來解決。那麼這是不是一種「傭兵」的概念?還是是準軍事團體如美國建國的「分鐘人」(minutemen) 編制?
分鐘人(Minuteman),也有譯作義勇軍、義勇兵、急召民兵、瞬息民兵、快捷民兵、民兵,是指美國獨立戰爭時期麻省的一類召之即來的特殊民兵組織。其成員從美國各地民兵中挑選出精壯的成員所集結。顧名思義,分鐘人具有高機動性、快速部署的能力,一旦有狀況發生,可以在「一分鐘內」(比喻非常快速的時間)就集合趕到現場,使到殖民地能夠迅速對戰鬥進行應對。
簡單來說就是在海外部署民兵,並且有戰鬥和防衛支援的任務?這或不會落入美國國務院定義的某種「軍民融合」 (military-civil fusion) 防衛型態?未來數位發展部的資安法人難道要肩負這重責大任?如果和台灣政府只是「志願」「義勇」的關係,那麼遴選的條件是?還是,這是美國政府某些單位要台灣研究的?海外資安義勇軍和台灣軍事部門的關係是(如資通電軍指揮部)?
這些都很值得近一步討論,有些可能是技術問題,也可能有不少屬於灰色空間地帶,需要智慧、創意、法制突破,以及對國際衝突解決慣例(尤其是非武裝衝突和網路衝突)更清楚理解等不少的前置作業(例一、例二)。
T.H. Schee 
[…] 國民兵/武裝民兵/義勇(如資安) […]