分類: internet

今天雖然台灣的通傳會5G頻譜競標開跑，不過美國國防部 FY2020 NDAA 3500頁的預算書更刺激。純粹是做個紀錄。資料來源：美國國會

參議院部分有一份協商後的摘要，我把 “cyber" 和 “5g" 拉出來看。「中國」部分比較敏感，給其他產業先進研究去。

Cyber 部分 

NDAA 加強了國會對網路營運的監督，並增強了國防部的網路安全策略和網路作戰能力。此次會議報告事項：

• 指示國防部長制定一致，全面的框架，以增強美國國防工業基地的網路安全；
• 需要製定度量標準以評估「網路任務部隊 (Cyber Mission Forces) 的整備狀況；
• 建立大學聯盟，就網路安全問題對國防部部長建議；
• 為每名軍事服務單位 (military service) 建立首席網路顧問 (Principal Cyber Advisors)，負責軍事網路力量的事務；
• 在維運資金 (Operation and Maintenance) 允許軍事部門的主官在調用最多300萬美元的預算，以用於開發支援網路營運的特殊功能，以實現快速發展網路功能的創建、測試、部署和操作；
• 要求國防部長通知國會國防委員會，報告來自國家的任何授權機構關於軍事網路空間作戰司令單位的各種操作細節；
• 指導有關軍事網路空間作戰的年度報告；
• 指導國防部和網路與資訊相關的技術人事預算進行零基審查；
• 要求進行有關改善海軍網路職業發展生涯晉用管道的研究；
• 完善化首席資訊官 (CIO) 對企業範圍內的網路安全進行改善；
• 委託國防科學委員會 (Defense Science Board) 研究未來的網路作戰能力；
• 指示國防部長對美國的網路態勢 (cyber posture) 進行四年一次的審查；和
• 延長網路空間日晷室委員會 (Cyberspace Solarium Commission) 的完成日期

5G 部分

• 會議報告認知到建立第五代 (5G) 通訊相關戰略以增強軍事能力的重要性和緊迫性。NDAA 將：
• 批准2.75億美元用於新的5G資訊通訊技術研究和開發計劃，以及在整個國防部安裝中建立 5G 測試站點，包括內華達州測試場 (Nevada Test) 和培訓範圍；
• 要求建立可信賴的微電子供應鏈並進行營運安全標準管理，以改善所取得之商業產品在安全和製造上符合標準，並確保工業基礎對各種風險有足夠的韌性； 和
• 要求制定國防部 5G 戰略和實施計劃。

此外，國會最新的協商的版本已出爐（報載），初步看來將近3500頁（之前的版本這裡瀏覽）。很多關鍵篇幅，下週再看。

首先是 LINE 的新聞稿，以及 Web 平台本身。幾點觀察如下，有誤請多指教：

(1) LINE Taiwan 近一兩年來收到不少來自政府各級單位的關切和壓力，在2020大選前半年前推出這個機制，可以說是最後期限了。

(2) 這平台本身號稱跟「4大中立查核機構」合作，但這「四大」可稱之為「大」者，可能尚無一可符合。所謂「四大」機構，僅有一個「事實查核中心」在組織面、工作流程，還有監督機制的部分，比較充分，但「事實查核中心」目前應該還不具法人身份。「真的假的」並非機構，本身也不具法人身份，比較像是某種計畫和機制。「萊姆吐司」和「MyGoPen」的資訊則是比較模糊，但兩者應該有營利型態的組織（如工作室、公司）在支持。在「事實查核」這種具高度爭議和判斷的合作案，這部分可能需要多一點釐清。照理說，LINE Taiwan 和這「四大」的合作一案，應該有某種契約關係。簽約文書的甲方乙方是誰，LINE Taiwan 本身最清楚。

(3) Web 平台本身看起來像是趕鴨子上架的結果，有幾筆數據在觀察一週之後，開始略顯整個計畫即將面臨的困窘端倪。快舉幾例：

• 「總舉報訊息數」一直停留在1.2k？
• 「總舉報人數」每日約增加1k，但自7月23日公開上線前，早已累積80k多的人數。不過這裡指的「人數」應該指的是「帳號」而不是「人數」。帳號數和人數兩者意義是不一樣的
• 「正向影響力」這個指標欠缺完整說明，短期內似乎沒有意義
• 查核的夥伴，以「萊姆吐司」和「MyGoPen」最為積極，經兩方所查核的訊息數量，也遠居第一和第二。相較於「事實查核中心」和「真的假的」，這兩家也是最為積極和其他電視以及傳統媒體合作的夥伴
• 至於「事實查核中心」的部分，看起來都是平台上線前就上稿好的內容。而本身是「社群」「機制」但卻被推向肩負「事實查核功能」的「真的假的」，經其查核的訊息則數，目前則是停在零
• Web 平台的頁面有一些 ranking，但 ranking 的設計和揭露要小心。以目前的狀況來說，有心的研究者可以從每日更新的狀態和從各欄位的資訊，推敲出此合作案是否有用有效的一些推論
• Web 平台還有一些資訊很有趣，我想積極的研究者應該給予更多的關注

另外，新聞稿本身揭露了很多數字，例如：

• LINE 在台擁有2,100萬月活躍用戶，每天在群組間傳遞93億則訊息，平均每人每天透過平台更接收及傳送超過上百則訊息

我對這幾個數字是如何介定和算出來的有高度的興趣。另外，還有一份名為「可疑訊息辨別與查證質化與量化」的調查，調查內所透露出的數字，可以推斷出這個「數位當責計畫」的計畫模式，本想要解決的問題的範圍 (scope) 是什麼。

不過我直覺來看，這個計畫可能沒有想像中的那麼重要，但在給各方利益相關者一個「完整的交代」部分，相較於其他跨國的平台業者，則是達到了高標。

這「開山里事件」不用多介紹，但我們在進入主題之前，盤點一下幾個數字。

• 台灣幾大電信業者發出去的有效SIM卡數量，約兩千九百萬張（來源：行動通訊市場統計資訊）
• 台灣的人口約兩千三百八十萬
• 開山里里民約三千兩百人（來源：里鄰人口數）

疾管署的說明（新聞稿）：

• 「因細胞廣播系統問題，導致全國民眾均收到該訊息」

我第一時間想到的是2018年的夏威夷飛彈防空警報誤發事件。第二時間是印象中美國通訊傳播委員會 FCC 有做了後許的檢討報告：

• 美國 FCC 初步調查簡易版
• 幾個月過後，調查和建議的完整版

第一份初步檢討報告的結構很簡單，第一步就是先訪問利益相關人，例如授權人員、操作人員、監督人員、系統維運業者、無線通訊業者等。第二步則是把事件發生的時序完整的列清楚。第二份報告比較複雜，不是我們這邊要看的重點。

回到開山里事件，我們在不同的媒體管道所看到的說法是，「這不是人為操作的問題，是系統問題」。系統在升級前沒有問題，但升級後發生的問題。問題在於操作人員在選取訊息廣播範圍時，輸入 “390″ 的數值。原有系統應該的鍵入數值單位應該是「公尺」，但系統升級後，卻成為了「公里」。

光看到這段描述就讓人一個頭兩個大。首先是，系統問題就是人的問題，不是操作問題，那就是軟體本身所造成的問題。軟體的問題，當然也是人所造成的。所謂軟體本身的問題又有很多種，以此案來看，至少：

• 有一個系統
• 有一個操作介面
• 有一個操作人員

目前所謂系統的規格、撰寫、升級、測試、上線等，不知是否為國家災害防救科技中心 (NCDR) 所負責。我第三時間的猜測，導致廣發訊息的原因之一，應該是系統介面沒有防呆或安全設計所間接導致。至於軟體系統升級這部分，則是透過媒體的報導才得知。因為「開山里事件」必須設定廣播區域，而實際的操作人員，不太可能是里長，那是否為疾管署？還是訊息派送的操作人，是屬於 NCDR 的人？這要回到此案的原始授權流程和實際授權流程。登革熱的防治和通知，在我們手機所收到的訊息署名裡，有「台南市政府」和「疾管署」兩個單位，那麼在授權此次訊息派送的環節，應該不出於這兩個機關的代表人。

進一步來探討，「誰」可以「對誰」請求訊息派送的授權？是開山里里長？應該也不可能才是，但授權的過程是否會「會到」開山里里長，這部分我們也不清楚。

再來，災害訊息廣播平台 (CBE) 系統介面在選取廣播範圍時，是怎麼操作的？是下拉式選單？還是幾個欄位可供自由填入發送原座標和廣播半徑？或是依照媒體所述，是一個 Google Maps 所嵌入的圖台，所以在操作介面上，允許：

• 機關使用者透過平台，手繪框選，建立發送細胞廣播的區域範圍
• 發送範圍形態包含地理區域代碼（Geocode）、多邊形（Polygon）或圓形（Circle）
• 預劃的區域清單

如果登入系統的機關使用者是疾管署的操作人員，疾管署選取一個里和一個全台，這需要取得的授權應該不一樣才合理。系統無論如何操作，如果要選取的範圍達到「390公里」這樣的「距離」，系統應該要有其他的安全管制邏輯介入才對。如果登入 CBE 系統的機關使用者是台南市政府（我猜應該不是），那麼這個機關使用者在系統介面上，能選取超過自己行政區域範圍的區域嗎？

還有其他更大的衍生問題，例如，細胞廣播可以精細到390公尺？「公尺級」的精確度，對細胞廣播這種大區域的訊息系統，是合理的嗎？只是一個里的通知，390公尺範圍，為什麼需要用到這種系統？開山里方圓不過幾百公尺，沒有其他更即時，更局域，更便宜，好操作，不會受到軟體服務設計邏輯不良而造成干擾甚至是大出包的廣播系統？甚至是選用其他非電子的廣播和訊息傳播管道？

在紛紛擾擾的社群媒體年代，細胞廣播系統幾乎是唯一公部門可以即時通知境內國民的最後一個手段。當遭受重大災難或事件，導致全體或大規模範圍的國民，必須靠著某種「訊息的生命線」才能得到即時正確訊息時，這唯一的管道，竟然發生了這個哭笑不得的開山里事件。在政治公關上，或許是一件可以快速應處的幽默話題，但對於未來這個訊息管道的信度和價值，這種等級的大包所造成的深遠影響，是完全笑不出來的。「狼（或是羊？）」來了一兩次，下次妳這個訊息型態和管道，不就整個廢了一半？

前一陣子的新聞，這一兩天有更多的細節和後續被不同的媒體所揭露（來源一、來源二、來源三）。這些被公開洩漏而且可供辨識個人的資料，到底值多少錢呢？根據媒體的報導，大約是八到十塊歐元可以取得，這大約是兩杯星巴克咖啡的價格。根據報載，這次還多虧「五眼聯盟」的通報，否則在明年選舉之後才知道，情況會更為嚴峻。五眼聯盟過去本來和台灣政府就互有「合作」的關係，只是這關係比較不那麼密切。（編按：政府官員表示，情報來自其他管道）

資料本身值不值錢，看來單純從資料的供應和需求面來判斷，大概是不怎麼值錢。但台灣公務員24萬人的資料，到底有沒有價值？這就很難說了。對你我而言，幾乎是沒有價值，就算看到了欄位的資料，價值幾乎是零。

• CNO_CODE
• ID_NO 身分證字號
• USER_NAME 姓名
• ORG_CODE 服務機關
• PRE_ORG_CODE 機關代碼
• JOB_NO 職務編號
• JOB_NAME 職務名稱
• CRT_USER
• CRT_DATA
• CRT_TIME

不過有沒有價值要看從什麼觀點來切入。比如說從台灣媒體所強調的「國家安全」視角來看，某些機關人員編制的人事資料，當然非常有價值，但有些機關並沒有這麼高。所以一筆資料的價值，單從資料本身是很難判斷的。比如說，要看資料所能「連結」和「關聯」的人、事、時、地、物是什麼。以國家安全單位而言，根據媒體報導來推論，要從這份資料來判斷人、時、地等，是很簡單的事情。「人」就是姓名，「時」則是在職期間，地則是所屬單位的駐在地。國家安全的人員，當然不是每一個都是神秘高深不能為外界所知，但透過這幾個能夠互相關聯的資料欄位，我們要拼湊起一個人，一個團隊或是一個單位的「動態」，銓敘部所洩漏的這些資料，是非常有「幫助」的。

這些資料的變動程度，和社交媒體上的資料不同。這些人事資料的變動頻率極低，再加上例如身分證號碼這個可以做為一位個人的唯一識別碼。這些資料相當有助於把各種 (a) 網路行為資料 (b) 個人跨境移動資料 (c) 個人金融和簽帳資料，更進一步的「定位」到某個個人，一個具體的自然人，一個很難「隱藏」和「轉換身份」的自然人。這種資料的價值，和單純在社交媒體平台上，使用者願意大量和不知情所貢獻的個人資料，是非常不同的。

這次銓敘部的資料洩漏事件，當然很嚴重，嚴重程度大概可和《美國聯邦人事管理局資料外洩案》作為比較（後簡稱 OPM breach）。OPM breach 後來在美國眾議院監督委員會 (House Oversight Committee) 的調查之下，出了一份兩百多頁檢討報告，目前已經無法在原始網站取得，但在公開網路取得不難。報告內的13點建議：

• Recommendation 1 – Ensure Agency CIOs are Empowered, Accountable, and Competent
• Recommendation 2 – Reprioritize Federal Information Security Efforts Toward a Zero Trust Model
• Recommendation 3 – Reduce of SSNs by Federal Agencies
• Recommendation 4 – Require Timely Justifications for Lapsed Authorities to Operate
• Recommendation 5 – Ensure Accountability and Empower DOD IT Officials Implementing Necessary Security Improvements for NBIB
• Recommendation 6 – Eliminate Information Security Roadblocks Faced by Agencies
• Recommendation 7 – Strengthen Security of Federal Websites and Breach Notifications
• Recommendation 8 – Financial Education and Counseling Services Through Employee Assistance Program
• Recommendation 9 – Establish Government-wide Contracting Vehicle for Cyber Incident Response Services
• Recommendation 10 – Improve and Update Cybersecurity Requirements for Federal Acquisitions
• Recommendation 11 – Modernize Existing Legacy Federal Information Technology Assets
• Recommendation 12 – Agencies Should Consider Using Critical Pay for IT Security Specialists
• Recommendation 13 – Improve Federal Recruitment, Training and Retention of Cyber Security Specialists

簡單來說，這次的人事資料洩漏案，可以具體給台灣政府一個警惕，例如說在推動和資料相關的政策之前，要知道風險是什麼，而不是一昧求產業發展。想想如果你單位手上有的資料被以此種方式公開洩漏之時，單位的緊急應變和風險管理機制是什麼，或是死了人誰要負責等。如果這麼重要的人事資料都可以如此輕忽十數年，那麼這一次剛好暴露出了更多不方便的事實，例如對實務理解的單純，在執行面的輕忽，以及對數位世界認知的落後。相關研究的投資，更屬嚴重不足。

後記：GAO 在2017年有一份針對 OPM 的40多頁報告

根據報載：嚇阻假新聞臉書出手了 啟動第三方事實查證計畫

有一段內容是：

此外，台北市電腦公會也將於21日，和FB、LINE、Google、Yahoo奇摩及批踢踢實業坊，聯合舉辦「網路業者防制不實訊息聯合記者會」，借時將公布由民間推出的「平台業者不實訊息自律準則」。

據了解，該內容包括「建立不實訊息機制與相關防護」、「持續提升廣告透明與管理」、「與第三方單位及政府合作，建立和維護獨立、透明、公正的監督機制」、「透過數位素養及媒體識讀相關訓練，協助提升民眾識別不實訊息之能力」四大方向、十三項實踐準則。

這很有趣。新聞裡面提到幾方，台北市電腦公會 (TCA) 的角色很奇特，當然對長期關注的朋友而言就不至於過於驚訝。TCA 在幾年前開始接觸「網路治理」等議題，前幾年從原本的委託經營者手中，拿下 iWIN 機構。TCA 新的這一組人很積極，所以也努力成為 Facebook 在本區域的相關代理單位。至於代理的業務是什麼，有不少公開資訊可供查詢。

各大業者的這份「平台業者不實訊息自律準則」還沒有公開，但 Facebook 自己有不知多少和「假新聞」有關「準則」，也有特別針對歐盟市場和其他主要平台業者（如 Facebook, Google, Twitter 等）所共同簽署的 “Code of Practice on Disinformation“。可是署名歸署名，實際狀況當然沒有這麼樂觀。 Google 則是在今年二月公佈了全球的 “Disinformation Policy"，詳細載明政策所依據的思考路徑，什麼樣的產品線以及地區，是這些政策在2019年實現的最高優先市場。

LINE 則是比較特別，主要是因為 LINE 是唯一一家不是美國的公司。它的市場狀況也不若本次在新聞被提及的 Facebook, Google 等，相關政策一直比較隱晦（這有很多原因）。台灣在蔡政府目前的執政氛圍之下，美國（公司）是不可「損傷」的盟友。Facebook, Google 兩者就算在「假新聞」只做些公關性質的計畫，也有 AIT 和美國商會「照應」。LINE 就沒有這麼好運了。LINE 有三個主要市場：日本、台灣和泰國。日本的總部沒有什麼必須要即時因應 disinformation 的壓力，台灣和泰國反而是其主要的「戰場」。但泰國目前是軍政府執政，軍政府能如何因對，大概也不脫幾種套路。

Yahoo奇摩和批踢踢實業坊要面對的只有單一市場，所以和其他三者又有所不同。五家規模不一的「平台」在 TCA 的「伺候」之下，即將要簽署《平台業者不實訊息自律準則》，這「實踐準則」和 Facebook 各種已公開的政策，或是 Google 全球政策，如果有所不同，那麼，我們應該要看的是那一份為準？對 Google 來說，本地簽署的「實踐準則」，要如何拿來和更上位的全球政策比對？還是台灣不在全球政策之下？從 LINE 的角度而言，這份可能是日台泰三個的市場所簽署的第一份「準則」（我沒有詳細去問泰國的議員朋友），那麼源自於台灣的這份，是否可以拿來對應到未來他們在泰國市場的態度？

幾家業者在今年三月被逼急了開了一堆記者會，現在又聯手，可見壓力不少。很期待明天的公開版本，尤其對廣大的台灣使用者，這三個平台幾乎很難在生活中避開。他們所簽署的《平台業者不實訊息自律準則》，值得業者、非業者、消費者和使用者積極關注。