過去兩天,總統府爆出內部資料疑似外流,其資訊系統或電腦很可能遭受侵駭。政府資訊體系龐大,有太多的問題,也有很多的作業方式需要改善,體制內的相關公務員都清楚。這些的確需要面對,但從政策擬定的角度,我們看到幾個核心的制度問題,必須優先處理,專業人員才可能確實解決執行與技術面的問題。
我們過去跟國外專家與官員交流、檢討政府資訊安全問題、討論解決方案的時候,碰到的第一個挑戰,就是回答「這是誰的工作」(Whose job is it? Who is the “mission owner” responsible for protecting your network and information?)。誰負責規劃系統、平時監控存取紀錄與異常行為、要求使用者遵守安全規定(並有權力懲處,如暫停個人的系統權限),甚至依照遭受攻擊的模式而調整系統架構?這個專責單位需要被授權,為機關的系統與資訊安全負責。
任何曾在具相當規模企業工作的人,對「安全官」(security officer) 的角色都不陌生。政府是我們國家最大、最重要的企業,但目前沒有人在第一線「主責」機關內的安全事務。
保護政府資訊所存在的問題,涉及太多單位──國發會主管 GSN(政府網際服務網)骨幹;行政院資安處負責資安的政策制定、工作執行與產業發展;國安局負責情報蒐集,掌握境外勢力對政府的攻擊(但不負責防護);調查局最近成立資安工作站;然而實際上坐在政府機關內部的廉政署政風人員,名義上負責「機密維護」,實際上著重在肅貪──結果是權責不明。有專責,才有負責,也才可能究責。
政府有1,300多個中央行政機關與事業機構(不含學校);所屬公務員近17萬人(若納入國軍,總人數就加倍)。若在每個單位設置資安人員,不但不切實際,也無法確實因應政府所承受的系統性攻擊;因為攻擊模式只會不斷調整,並且找最弱的一環來切入。
合理的政策方向,應該是由中央單位管理、以軟體設計取勝的資訊系統(centralized and software-based solutions);少一點預算在硬體採購、多花一點心思在系統設計,這必然是雲端的架構。最核心的安全工作不能外包,需要培養體制內的專業人才(需要預算和員額),因為沒有委外廠商會比自己人還在乎內部安全。
如果有專責單位負責機關的資訊安全、有更符合需求的資訊系統,我們接著必須要求公務只能透過公務裝置(無論電腦或手機)處理。如此,才可能監控任何系統上的異常,並保留紀錄。這表示使用習慣的改變:公務必須透過官方電郵、不可以用 Line 或個人電腦;機敏工作不能遠距處理;有些網站不能連公務系統。這些看似革命性的規範,其實在國際企業工作的台灣人都天天遵守,相信我們的政府也可以做到。
若要求官員更謹慎管理政府的機敏資料、用公務電腦與手機執行「公務」,那麼政府檔案的定義就必須擴大。目前,依照《檔案法》,有「依照管理程序,而歸檔管理」的資料(換句話說,有掛文號的公文)才屬於公務檔案。
關鍵是:政府資訊只會持續地數位化;既有的漏洞、特別是體制上的缺陷,若不改善,也會持續被利用。這一次,因為外洩的資料有其政治渲染力,社會大眾才看到問題。政府系統在平時頻繁地遭受入侵,早就在發生。
政府所面對的挑戰,許多國家與跨國企業都親身經歷,以此借鏡,能避免走冤枉路。我們平日與國內外產業界接觸交流,深知很多專業人才樂意分享經驗。政府資訊是全民資產。我們必須善用這次教訓,勇敢面對、檢討並改善政府的資安機制。
