看到有政治人物的幕僚因為誤點 LINE 裡面的不明超連結,造成整個帳號被劫持。其實這件事要政府單位出面加強「管管」是個很 “reflexive” 的思考沒錯,但從實務上來說第一天就不應該完全使用 LINE 作為即時訊息的溝通管道。這方面的資訊安全知識在不少國家的政治圈子和國會幕僚群可說是常識或是有相對應的「職前訓練」,但在台灣因為網路用多了,政治幕僚的團隊反而不知道如何處理,所以通常他們也是最容易被攻擊的一群人。
被攻擊所造成的危害是一種危機,但不一定要馬上「啟動」。對於有有經驗的攻擊者而言,透過這類型的攻擊所取得的資料,在未來是可以「派上用場」的。
這件事是很弔詭的。
主要幕僚如果可以不用私人手機就不要用,但這前提是幕僚群的手機有 infosec 的人幫忙。如果是飽受威脅的國會議員團隊,應該是可以有一個背後的 IT 和 infosec 團隊來供應這些 IT 設備,設備在遞交時提供軟硬體設定。最好能每季「回廠」檢查,或是固定有不等的資訊安全和滲透測試的「攻防演練」。Infosec 的 capacity 可以放在國會既有的架構內,這算基本「防護」。積極者則可以聯合找外面的團隊,來協助建立起不被輕易滲透的資訊設備使用習慣。
在任何有點規模公司待過的人都知道,有個很簡單的原則就是工作帳號要和私人帳號分開,沒有分開就是問題無法處理乾淨的源頭。至此,如果因為和公眾輿論「交關」的工作流程無法脫開 LINE,那麼在帳戶的建立和手機門號本身要能分開處理。簡單來講就是和團隊個人不是擔任此職務所使用的帳號要和工作的環境分開,這環境包含了設備、身分識別、帳戶管理以及一些簡易的加密作業手續等。
我不覺得這些在台灣這個號稱「資安即國安」的大國會想不出來。國會議員和幕僚也算是權力運作的核心環節,如果這些核心環節這麼軟,那整體社會安全當然也就很軟。目前表述的那一套永遠和幕僚實際作業習慣有很大的鴻溝,這個 gap 要長期努力想辦法彌補。
探索更多來自 T.H. Schee 的內容
訂閱即可透過電子郵件收到最新文章。
T.H. Schee 