不方便明講的議題,知道的人不少,不知道的人更多,但被大小來自網路攻擊所癱瘓的政府網站,還只是簡單的小戰役而已。以下並不專業,專業的要自己體認到,認真互相內參誠實交流的時間到了。
這次有幾個關鍵單位的外網網站發生連線困難,比如說總統府、比如說國防部、比如說外交部。從公開資訊得知,這些都是相對簡單的網路攻擊型態,其所造成的「戰損」要讓使用者沒辦法連線到上該網站,大概不是很難的事。其中原理當然不是本篇討論的重點,重點是,這些網站資訊系統的「網路防衛」是誰在負責?是各部會?總統府自己的資訊單位有這個能耐統籌嗎?國防部?國防部聽起來還比較具有韌性,外部網站可以維持運作,復原也快,但應該不會去管到其他部會。不過,我們好像有個資通電軍「第四軍種」?如果政府的「網域空間」不是國防部在負責,那這個第四軍種是在做什麼?還是他們的主要業務之一是監偵?情資會和其他部會分享嗎?喔,我們別忘了必須高調的外交部。外交部的資訊單位在過去是有口皆碑的「古典風格」,他們的網路防衛能量有多少,或許不要再細問下去比較好。
這三個單位極為重要部會的網路防衛計畫是誰擬定的?誰可以擬定?三個都歸總統府(或是總統)管轄的部會的網路防衛計畫(不單是資訊安全)是在哪?有這種東西的存在嗎?中共軍演有沒有預料到網路和對外的資訊系統會遭受到攻擊?不論攻擊是來自哪些 threat actor,事前有多少準備?準備不是只有準時在一小時內通報啊(資安通報應變機制)?這幾個重要的部會有「聯防」的機制嗎?哪些防衛能量是共用的?行政院資訊長在這三個部會的網路防衛,有什麼角色?他只是把令旗拿出來揮的那個人嗎?
話說資訊安全以後好像歸數位部管,至少通傳會某代表在某次記者會上如此意指。數位部沒有成立,下手當然是沒有正規軍之名。數位部的召集人在目前的危機之中,具有某種網路防衛的指揮權還是法定的建議權嗎?如果沒有指揮權,那為什麼行政院記者會談這個部分,而且是召集人出來談?行政院的資訊長…… 不是該由他來談嗎?還是總統府的資訊長?國安單位(有好幾個)是幕僚對吧?他們應該也不會有指揮權,那整個政府網路資訊系統的網路防衛,「軍政」和「軍令」是怎麼切分的?
國防部在前幾天發布了,三軍進入「強化戰備整備指導期間」,那第四軍呢?是被遺忘還是?如果資通電軍只是「聊備一格」,那麼行政院乃至五院以下的重要部會,在網路防衛部分都要靠自己,或是靠要被併入數位部的幾個單位,那這些重要的部會,是不是也要積極跟著進入某種「強化」「戰備」的階段?
想想就覺得杞人憂天的問題問不完,也難怪電子看板的奇怪告示,這一兩天讓很多里長關的很忙。不屬於公部門但實質上是台灣社會日常生活重要一環的便利商店,也成了「跌股」的受害者。三軍進入戰備,第四軍不知道去哪裡,重要部會的網路防衛態勢也沒有展現出來。網路防衛的指揮體系不明,在面臨大小不等攻擊方也不明的紛亂狀態下,也是剛好而已?
重大危機的發生,通常是能不能,行不行,夠不夠,要不要,可不可以的最好試煉。誰指揮誰應該要很清楚,不清楚就會淪於窮於應付,體現「資安即國安」跟紙糊一樣的強韌度。
Photo by Pressmaster: https://www.pexels.com/photo/man-with-megaphone-pointing-3851255/
T.H. Schee 