關於媒體報導上百名政要的LINE帳號被駭

前情提要:

我們開始來探討。

根據媒體的報導,我們可以得知一些事,但我們不是利益相關者,也不是政要,有些人根本不太使用 LINE,雖然這是極為少數。但從政策的角度來說,這是一個好的案例,也是一個應該要有人負責的案例。我這邊跟之前討論幾個爭議議題的態度一樣,要先會問問題,不是直接看到報導就跟著敘事脈絡想下去。所以我這邊也有幾個問題,不一定有答案,只是反應說會怎麼看這件事。

首先第一個問題是,有沒有人應該正式出來講話?如果是政要高層,根據媒體報導,可能有總統府、行政院、立法院(民意代表)、地方政府,也有軍方人士。一百多個帳號還不清楚是怎麼 identify 出來的,是刑事局收到很多「報案」之後,發現超過某種 threshold,所以趕緊向上匯報的?還是在什麼期間,LINE 也偵測到異常的安全狀態,所以也透過相關管道回報?這些回報事件在時間點上的釐清,目前看來是由直屬總統府的國安會來協調。我們當然不會(或不能)知道這件事的細節,但這件事實在是太大條,大到都可以動搖「資安即國安」的國本了。對於整體社會而言,這件事要有公開的「案情解釋」。

第二個問題是,出來講話的應該是誰?發言人體系?但這事件看起來是橫跨政府、立法機關和政要(可能是民間人士)。所以會是誰?總統府發言人?行政院發言人?國安會透過總統府發言人?還是?這是第二個問題。誰出來講話很奧妙,沒有人出來講話也是一個態勢 (posture) 的指標,我覺得這點必定要關注。

第三個問題是,總統和副總統對於機敏訊息的交換不透過 LINE,另有通訊系統和 security protocol — 這點其實在這件事上稍微遠一點。政府什麼樣的人要透過什麼樣的管道傳遞什麼樣的訊息,本來就有好多套規定。這些規定有沒有被落實,能否在實務被落實,若有沒有資源落實,沒辦法落實要怎麼辦等,這是另外一件事。這些常用的通訊管道是否有相關規定,還是有不成文的習慣在「管控」「指導」,例如說某長官下班都用 LINE 交代公務,這又是另外一個問題。接下來是數位環境越來越重要,因此政要也需要透過各種社群媒體交換訊息。這個層面的現況如何?我相信過去每一個時間點就會有政府內部說要檢討的聲音。所以簡短來說,現在誰在用什麼傳什麼訊息,這一百多個人哪些是政府機關人員,這可能需要有更深一層的認識。認識的手段不一定是具有非常侵入性質 (intrusive) 的技術,例如政要一百多個人手機都拿過來掃一下(aka 採證),用 digital forensics 的手段去處理。這樣當然也不好。

第四個問題是關於事件調查的部分,例如誰起頭,誰要負責調查,誰能指揮調查,誰可以回應調查等相關問題。這點也要釐清,因為這是豎立類似重大資安事件(即使是在相關法規沒有明定此種調查權之歸屬)的調查手法在未來能否 normalize 的重中之重。這不是現在要處理的,但是要放在心上,或是有一組人在從旁紀錄。

第五個問題是,在「案情」沒有被釐清之前,這些政要的通訊網絡,短期內要如何重建?要如何輔導「轉型」?要如何強化安全?你總不能要求人家回去用傳真機啊?這也不是切換一個技術解方案就能解決的。這牽涉的安全面向,可不是單純說要開啟 LINE “letter sealing” 這麼簡單。如果只有醉心於個人安全意識提升的鼓吹,在這種層級的事件是嚴重偷懶,也是見樹不見林的建議。一百多人中標,那沒有被發現中標的?他們展出去的 social graph 有多廣?會不會也有不同程度的 compromise?這影響應該不會低於幾千人,那他們的通訊行為怎麼辦?若有些人不在政府單位服務,但卻是知名「政要」,那我們有什麼權利和主張可以去改變人家的通訊行為?

簡單來說先有這五個問題。

3 thoughts on “關於媒體報導上百名政要的LINE帳號被駭”

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.