T.H. Schee

這「開山里事件」不用多介紹，但我們在進入主題之前，盤點一下幾個數字。

• 台灣幾大電信業者發出去的有效SIM卡數量，約兩千九百萬張（來源：行動通訊市場統計資訊）
• 台灣的人口約兩千三百八十萬
• 開山里里民約三千兩百人（來源：里鄰人口數）

疾管署的說明（新聞稿）：

• 「因細胞廣播系統問題，導致全國民眾均收到該訊息」

我第一時間想到的是2018年的夏威夷飛彈防空警報誤發事件。第二時間是印象中美國通訊傳播委員會 FCC 有做了後許的檢討報告：

• 美國 FCC 初步調查簡易版
• 幾個月過後，調查和建議的完整版

第一份初步檢討報告的結構很簡單，第一步就是先訪問利益相關人，例如授權人員、操作人員、監督人員、系統維運業者、無線通訊業者等。第二步則是把事件發生的時序完整的列清楚。第二份報告比較複雜，不是我們這邊要看的重點。

回到開山里事件，我們在不同的媒體管道所看到的說法是，「這不是人為操作的問題，是系統問題」。系統在升級前沒有問題，但升級後發生的問題。問題在於操作人員在選取訊息廣播範圍時，輸入 “390″ 的數值。原有系統應該的鍵入數值單位應該是「公尺」，但系統升級後，卻成為了「公里」。

光看到這段描述就讓人一個頭兩個大。首先是，系統問題就是人的問題，不是操作問題，那就是軟體本身所造成的問題。軟體的問題，當然也是人所造成的。所謂軟體本身的問題又有很多種，以此案來看，至少：

• 有一個系統
• 有一個操作介面
• 有一個操作人員

目前所謂系統的規格、撰寫、升級、測試、上線等，不知是否為國家災害防救科技中心 (NCDR) 所負責。我第三時間的猜測，導致廣發訊息的原因之一，應該是系統介面沒有防呆或安全設計所間接導致。至於軟體系統升級這部分，則是透過媒體的報導才得知。因為「開山里事件」必須設定廣播區域，而實際的操作人員，不太可能是里長，那是否為疾管署？還是訊息派送的操作人，是屬於 NCDR 的人？這要回到此案的原始授權流程和實際授權流程。登革熱的防治和通知，在我們手機所收到的訊息署名裡，有「台南市政府」和「疾管署」兩個單位，那麼在授權此次訊息派送的環節，應該不出於這兩個機關的代表人。

進一步來探討，「誰」可以「對誰」請求訊息派送的授權？是開山里里長？應該也不可能才是，但授權的過程是否會「會到」開山里里長，這部分我們也不清楚。

再來，災害訊息廣播平台 (CBE) 系統介面在選取廣播範圍時，是怎麼操作的？是下拉式選單？還是幾個欄位可供自由填入發送原座標和廣播半徑？或是依照媒體所述，是一個 Google Maps 所嵌入的圖台，所以在操作介面上，允許：

• 機關使用者透過平台，手繪框選，建立發送細胞廣播的區域範圍
• 發送範圍形態包含地理區域代碼（Geocode）、多邊形（Polygon）或圓形（Circle）
• 預劃的區域清單

如果登入系統的機關使用者是疾管署的操作人員，疾管署選取一個里和一個全台，這需要取得的授權應該不一樣才合理。系統無論如何操作，如果要選取的範圍達到「390公里」這樣的「距離」，系統應該要有其他的安全管制邏輯介入才對。如果登入 CBE 系統的機關使用者是台南市政府（我猜應該不是），那麼這個機關使用者在系統介面上，能選取超過自己行政區域範圍的區域嗎？

還有其他更大的衍生問題，例如，細胞廣播可以精細到390公尺？「公尺級」的精確度，對細胞廣播這種大區域的訊息系統，是合理的嗎？只是一個里的通知，390公尺範圍，為什麼需要用到這種系統？開山里方圓不過幾百公尺，沒有其他更即時，更局域，更便宜，好操作，不會受到軟體服務設計邏輯不良而造成干擾甚至是大出包的廣播系統？甚至是選用其他非電子的廣播和訊息傳播管道？

在紛紛擾擾的社群媒體年代，細胞廣播系統幾乎是唯一公部門可以即時通知境內國民的最後一個手段。當遭受重大災難或事件，導致全體或大規模範圍的國民，必須靠著某種「訊息的生命線」才能得到即時正確訊息時，這唯一的管道，竟然發生了這個哭笑不得的開山里事件。在政治公關上，或許是一件可以快速應處的幽默話題，但對於未來這個訊息管道的信度和價值，這種等級的大包所造成的深遠影響，是完全笑不出來的。「狼（或是羊？）」來了一兩次，下次妳這個訊息型態和管道，不就整個廢了一半？

前一陣子的新聞，這一兩天有更多的細節和後續被不同的媒體所揭露（來源一、來源二、來源三）。這些被公開洩漏而且可供辨識個人的資料，到底值多少錢呢？根據媒體的報導，大約是八到十塊歐元可以取得，這大約是兩杯星巴克咖啡的價格。根據報載，這次還多虧「五眼聯盟」的通報，否則在明年選舉之後才知道，情況會更為嚴峻。五眼聯盟過去本來和台灣政府就互有「合作」的關係，只是這關係比較不那麼密切。（編按：政府官員表示，情報來自其他管道）

資料本身值不值錢，看來單純從資料的供應和需求面來判斷，大概是不怎麼值錢。但台灣公務員24萬人的資料，到底有沒有價值？這就很難說了。對你我而言，幾乎是沒有價值，就算看到了欄位的資料，價值幾乎是零。

• CNO_CODE
• ID_NO 身分證字號
• USER_NAME 姓名
• ORG_CODE 服務機關
• PRE_ORG_CODE 機關代碼
• JOB_NO 職務編號
• JOB_NAME 職務名稱
• CRT_USER
• CRT_DATA
• CRT_TIME

不過有沒有價值要看從什麼觀點來切入。比如說從台灣媒體所強調的「國家安全」視角來看，某些機關人員編制的人事資料，當然非常有價值，但有些機關並沒有這麼高。所以一筆資料的價值，單從資料本身是很難判斷的。比如說，要看資料所能「連結」和「關聯」的人、事、時、地、物是什麼。以國家安全單位而言，根據媒體報導來推論，要從這份資料來判斷人、時、地等，是很簡單的事情。「人」就是姓名，「時」則是在職期間，地則是所屬單位的駐在地。國家安全的人員，當然不是每一個都是神秘高深不能為外界所知，但透過這幾個能夠互相關聯的資料欄位，我們要拼湊起一個人，一個團隊或是一個單位的「動態」，銓敘部所洩漏的這些資料，是非常有「幫助」的。

這些資料的變動程度，和社交媒體上的資料不同。這些人事資料的變動頻率極低，再加上例如身分證號碼這個可以做為一位個人的唯一識別碼。這些資料相當有助於把各種 (a) 網路行為資料 (b) 個人跨境移動資料 (c) 個人金融和簽帳資料，更進一步的「定位」到某個個人，一個具體的自然人，一個很難「隱藏」和「轉換身份」的自然人。這種資料的價值，和單純在社交媒體平台上，使用者願意大量和不知情所貢獻的個人資料，是非常不同的。

這次銓敘部的資料洩漏事件，當然很嚴重，嚴重程度大概可和《美國聯邦人事管理局資料外洩案》作為比較（後簡稱 OPM breach）。OPM breach 後來在美國眾議院監督委員會 (House Oversight Committee) 的調查之下，出了一份兩百多頁檢討報告，目前已經無法在原始網站取得，但在公開網路取得不難。報告內的13點建議：

• Recommendation 1 – Ensure Agency CIOs are Empowered, Accountable, and Competent
• Recommendation 2 – Reprioritize Federal Information Security Efforts Toward a Zero Trust Model
• Recommendation 3 – Reduce of SSNs by Federal Agencies
• Recommendation 4 – Require Timely Justifications for Lapsed Authorities to Operate
• Recommendation 5 – Ensure Accountability and Empower DOD IT Officials Implementing Necessary Security Improvements for NBIB
• Recommendation 6 – Eliminate Information Security Roadblocks Faced by Agencies
• Recommendation 7 – Strengthen Security of Federal Websites and Breach Notifications
• Recommendation 8 – Financial Education and Counseling Services Through Employee Assistance Program
• Recommendation 9 – Establish Government-wide Contracting Vehicle for Cyber Incident Response Services
• Recommendation 10 – Improve and Update Cybersecurity Requirements for Federal Acquisitions
• Recommendation 11 – Modernize Existing Legacy Federal Information Technology Assets
• Recommendation 12 – Agencies Should Consider Using Critical Pay for IT Security Specialists
• Recommendation 13 – Improve Federal Recruitment, Training and Retention of Cyber Security Specialists

簡單來說，這次的人事資料洩漏案，可以具體給台灣政府一個警惕，例如說在推動和資料相關的政策之前，要知道風險是什麼，而不是一昧求產業發展。想想如果你單位手上有的資料被以此種方式公開洩漏之時，單位的緊急應變和風險管理機制是什麼，或是死了人誰要負責等。如果這麼重要的人事資料都可以如此輕忽十數年，那麼這一次剛好暴露出了更多不方便的事實，例如對實務理解的單純，在執行面的輕忽，以及對數位世界認知的落後。相關研究的投資，更屬嚴重不足。

後記：GAO 在2017年有一份針對 OPM 的40多頁報告

根據報載：嚇阻假新聞臉書出手了 啟動第三方事實查證計畫

有一段內容是：

此外，台北市電腦公會也將於21日，和FB、LINE、Google、Yahoo奇摩及批踢踢實業坊，聯合舉辦「網路業者防制不實訊息聯合記者會」，借時將公布由民間推出的「平台業者不實訊息自律準則」。

據了解，該內容包括「建立不實訊息機制與相關防護」、「持續提升廣告透明與管理」、「與第三方單位及政府合作，建立和維護獨立、透明、公正的監督機制」、「透過數位素養及媒體識讀相關訓練，協助提升民眾識別不實訊息之能力」四大方向、十三項實踐準則。

這很有趣。新聞裡面提到幾方，台北市電腦公會 (TCA) 的角色很奇特，當然對長期關注的朋友而言就不至於過於驚訝。TCA 在幾年前開始接觸「網路治理」等議題，前幾年從原本的委託經營者手中，拿下 iWIN 機構。TCA 新的這一組人很積極，所以也努力成為 Facebook 在本區域的相關代理單位。至於代理的業務是什麼，有不少公開資訊可供查詢。

各大業者的這份「平台業者不實訊息自律準則」還沒有公開，但 Facebook 自己有不知多少和「假新聞」有關「準則」，也有特別針對歐盟市場和其他主要平台業者（如 Facebook, Google, Twitter 等）所共同簽署的 “Code of Practice on Disinformation“。可是署名歸署名，實際狀況當然沒有這麼樂觀。 Google 則是在今年二月公佈了全球的 “Disinformation Policy"，詳細載明政策所依據的思考路徑，什麼樣的產品線以及地區，是這些政策在2019年實現的最高優先市場。

LINE 則是比較特別，主要是因為 LINE 是唯一一家不是美國的公司。它的市場狀況也不若本次在新聞被提及的 Facebook, Google 等，相關政策一直比較隱晦（這有很多原因）。台灣在蔡政府目前的執政氛圍之下，美國（公司）是不可「損傷」的盟友。Facebook, Google 兩者就算在「假新聞」只做些公關性質的計畫，也有 AIT 和美國商會「照應」。LINE 就沒有這麼好運了。LINE 有三個主要市場：日本、台灣和泰國。日本的總部沒有什麼必須要即時因應 disinformation 的壓力，台灣和泰國反而是其主要的「戰場」。但泰國目前是軍政府執政，軍政府能如何因對，大概也不脫幾種套路。

Yahoo奇摩和批踢踢實業坊要面對的只有單一市場，所以和其他三者又有所不同。五家規模不一的「平台」在 TCA 的「伺候」之下，即將要簽署《平台業者不實訊息自律準則》，這「實踐準則」和 Facebook 各種已公開的政策，或是 Google 全球政策，如果有所不同，那麼，我們應該要看的是那一份為準？對 Google 來說，本地簽署的「實踐準則」，要如何拿來和更上位的全球政策比對？還是台灣不在全球政策之下？從 LINE 的角度而言，這份可能是日台泰三個的市場所簽署的第一份「準則」（我沒有詳細去問泰國的議員朋友），那麼源自於台灣的這份，是否可以拿來對應到未來他們在泰國市場的態度？

幾家業者在今年三月被逼急了開了一堆記者會，現在又聯手，可見壓力不少。很期待明天的公開版本，尤其對廣大的台灣使用者，這三個平台幾乎很難在生活中避開。他們所簽署的《平台業者不實訊息自律準則》，值得業者、非業者、消費者和使用者積極關注。

美好的春假期間，被問了關於最近風風雨雨涉及「資訊戰」的各式新聞報導的意見。我分享一些觀察。

1. 相關「研究」的一點心得，包含聽來的或是在不同國家的實務經驗累積，去年到目前為主，我在不同場合嘗試談過不下十場，第一版的簡報也放在公開的網路平台，唯一點比較不同的是，我沒有（信心）猛下結論，或是把話說得很死。我沒有猛下結論，或是沒有把不同現象攪和在一起談，是有很多原因的，當然這也包含了我認為目前最需要的是更深切從理論和實務端的研究，而且要快，但這不是某種危機意識的點燃大爆炸。
2. 目前從輿論上看到的各種狀況，比較接近網路上的「械鬥」或是商業行為的 “re-purpose”，甚至還不到「武裝衝突」的層次，更遑論要直接跳躍到「資訊戰」還是「混合戰」的討論。把械鬥的型態想像成是戰爭，這或許是不明智的。
3. 網站的畫面截圖，很難證明什麼，至少在證據是否充分上的辯論，不容易站的住腳。這部分的求證和調查，需要平台業者的長期支援，公信力才會更高更持久。建立與平台業者的某種「合作機制」，未來才更有利於快速處理複雜的「舉證」和調查業務，或是說，才有機會針對各種影響安全的攻擊行為之屬性 (attribute)，取得比較扎實數據，後續再來分析和判斷。
4. 根據行政院所公布的「政務委員督導業務及審查法案分工表」來看，無論是在林全還是賴清德甚至是目前的蘇貞昌，負責督導通傳會 (NCC) 的都是吳政忠，但吳在 disinformation 的輿論幾乎是不存在的角色。輿論所熟知四處奔走的，卻是落到了羅秉成的身上。外界可猜想其分工紊亂，內部協調一直有問題。而當狀況 “escalate” 到足以影響「社會安全」或是「國家安全」時，整個節奏和分工就開始亂了「章法」。
5. 吳政忠在 NCCSC（國家通訊暨網際安全中心）揭牌時曾列席聽取報告，蔡英文也在場。不過這單位掛牌的目的，可能和 disinformation 沒有很直接的關係，但也算吳政忠盡到了一些檯面上的責任。其他合照入鏡的人，我的推斷是，角色搞不好可能比吳政忠還多很多。
6. 對台灣而言，涉及資訊戰的主要網路空間 (cyber space) 之一，臉書當然是不可能不去討論的。但臉書港台相關人等一直找沈榮津出席大小活動也是有原因的。沈個人的經歷離網路非常之遠，外文能力也比較貧弱，這是普遍的認知。他對於網路大小事的了解，需要經過很多「轉換」才能 catch 到一兩個缺乏「系統觀」的「亮點」。經濟部雖然是臉書在台業務的主管機關（工業局），但經濟部卻是對臉書在 disinformation 最沒有「制衡力」，也最沒有臉書「遂行」其盈利業務最沒有「阻力」的單位。經濟部還有國貿局、中企處等單位，對臉書可說是比較「友善」。國發會的陳美伶可能都比沈榮津還懂網路。
7. 很多不同背景的學者在春假期間於各種媒體管道百花齊放大聲呼籲，在個人的社交媒體帳號更是勇猛的針對「資訊戰」「假消息」精進追擊。學者有來自傳播背景的、新聞的、有資訊安全、也有法律背景的，但我個人比較好奇的是，針對 disinformation，台灣的學者們有沒有掛名、出版，且比較紮實的研究報告，是可提供給大眾看的？我想這議題如此嚴峻熱門，應該是有才是。
8. 民進黨發言人李晏榕在2019年4月8日針對「資訊戰」的發言，最後一段我認為是有非常有問題的，比如說「也呼籲全民協同作戰，一起勇於揭露滲透與買收的相關資訊」，這種呼籲最好事先有一點推演的腳本模擬後，再來決定要不要呼籲比較恰當。要取得正確和信度高的資訊，在社交媒體被「武器化」的年代，已經相當困難。如此再搞成「草木皆兵」「揭竿而起」式的「糾舉」，或是很快地就拉到「心理國防」的層次，短中長期來說都不是很聰明。對時代力量就算了，對民進黨來說，不應該只有這點水平。
9. 蘇貞昌的社交媒體帳號第一時間的反應，也不是很聰明。
10. 國民黨在這方面的論述，如果是以「防衛」「防禦」的角度來看，是極度貧乏的。
11. 所謂的 “Gerasimov Doctrine” 是 Mark Galeotti 所編造出來的，這他自己今年3月5日在 “Foreign Policy” 期刊才剛「坦承從寬」。俄羅斯並沒有 “Gerasimov Doctrine” 的這套「戰爭理論」或是「戰法」，但這並不是說裡面的概念不存在俄羅斯長期以來的各種對外政策（移民、情報、外交、國際援助、媒體、軍事手段等）。這部分做戰略研究的，應該要知道才是。
12. 如果有人最近在台中，可以考慮參加這個活動。
13. 至於台灣是不是處於「資訊戰」「混合戰」的威脅之下，這當然很適合進一步公開探討，甚至成為某種。。。自由民主燈塔的 “beacon”。不過腦袋要冷，拳頭要熱，切記不要弄反了。

個人意見，先簡單如此。