關於媒體報導上百名政要的LINE帳號被駭

前情提要：

• 我百餘名政要LINE遭駭 受害用戶含府院、軍方、縣市長及朝野政黨等 (2021/7)
• 逾百政府高官LINE遭入侵　抓駭客！刑事局已介入偵辦追查 (2021/7)
• 資安即國安 淪陷五月天 (2020/5)

我們開始來探討。

根據媒體的報導，我們可以得知一些事，但我們不是利益相關者，也不是政要，有些人根本不太使用 LINE，雖然這是極為少數。但從政策的角度來說，這是一個好的案例，也是一個應該要有人負責的案例。我這邊跟之前討論幾個爭議議題的態度一樣，要先會問問題，不是直接看到報導就跟著敘事脈絡想下去。所以我這邊也有幾個問題，不一定有答案，只是反應說會怎麼看這件事。

首先第一個問題是，有沒有人應該正式出來講話？如果是政要高層，根據媒體報導，可能有總統府、行政院、立法院（民意代表）、地方政府，也有軍方人士。一百多個帳號還不清楚是怎麼 identify 出來的，是刑事局收到很多「報案」之後，發現超過某種 threshold，所以趕緊向上匯報的？還是在什麼期間，LINE 也偵測到異常的安全狀態，所以也透過相關管道回報？這些回報事件在時間點上的釐清，目前看來是由直屬總統府的國安會來協調。我們當然不會（或不能）知道這件事的細節，但這件事實在是太大條，大到都可以動搖「資安即國安」的國本了。對於整體社會而言，這件事要有公開的「案情解釋」。

第二個問題是，出來講話的應該是誰？發言人體系？但這事件看起來是橫跨政府、立法機關和政要（可能是民間人士）。所以會是誰？總統府發言人？行政院發言人？國安會透過總統府發言人？還是？這是第二個問題。誰出來講話很奧妙，沒有人出來講話也是一個態勢 (posture) 的指標，我覺得這點必定要關注。

第三個問題是，總統和副總統對於機敏訊息的交換不透過 LINE，另有通訊系統和 security protocol — 這點其實在這件事上稍微遠一點。政府什麼樣的人要透過什麼樣的管道傳遞什麼樣的訊息，本來就有好多套規定。這些規定有沒有被落實，能否在實務被落實，若有沒有資源落實，沒辦法落實要怎麼辦等，這是另外一件事。這些常用的通訊管道是否有相關規定，還是有不成文的習慣在「管控」「指導」，例如說某長官下班都用 LINE 交代公務，這又是另外一個問題。接下來是數位環境越來越重要，因此政要也需要透過各種社群媒體交換訊息。這個層面的現況如何？我相信過去每一個時間點就會有政府內部說要檢討的聲音。所以簡短來說，現在誰在用什麼傳什麼訊息，這一百多個人哪些是政府機關人員，這可能需要有更深一層的認識。認識的手段不一定是具有非常侵入性質 (intrusive) 的技術，例如政要一百多個人手機都拿過來掃一下（aka 採證），用 digital forensics 的手段去處理。這樣當然也不好。

第四個問題是關於事件調查的部分，例如誰起頭，誰要負責調查，誰能指揮調查，誰可以回應調查等相關問題。這點也要釐清，因為這是豎立類似重大資安事件（即使是在相關法規沒有明定此種調查權之歸屬）的調查手法在未來能否 normalize 的重中之重。這不是現在要處理的，但是要放在心上，或是有一組人在從旁紀錄。

第五個問題是，在「案情」沒有被釐清之前，這些政要的通訊網絡，短期內要如何重建？要如何輔導「轉型」？要如何強化安全？你總不能要求人家回去用傳真機啊？這也不是切換一個技術解方案就能解決的。這牽涉的安全面向，可不是單純說要開啟 LINE “letter sealing” 這麼簡單。如果只有醉心於個人安全意識提升的鼓吹，在這種層級的事件是嚴重偷懶，也是見樹不見林的建議。一百多人中標，那沒有被發現中標的？他們展出去的 social graph 有多廣？會不會也有不同程度的 compromise？這影響應該不會低於幾千人，那他們的通訊行為怎麼辦？若有些人不在政府單位服務，但卻是知名「政要」，那我們有什麼權利和主張可以去改變人家的通訊行為？

簡單來說先有這五個問題。