議題導讀

專責負責課責 政府資安不能等

政府資訊體系龐大,有太多的問題,也有很多的作業方式需要改善,體制內的相關公務員都清楚。這些的確需要面對,但從政策擬定的角度,我們看到三大核心制度問題,必須優先處理,專業人員才可能確實解決執行與技術面的問題。
吳怡農
May 17, 2020

過去兩天,總統府爆出內部資料疑似外流,其資訊系統或電腦很可能遭受侵駭。政府資訊體系龐大,有太多的問題,也有很多的作業方式需要改善,體制內的相關公務員都清楚。這些的確需要面對,但從政策擬定的角度,我們看到幾個核心的制度問題,必須優先處理,專業人員才可能確實解決執行與技術面的問題。

缺乏專責單位

我們過去跟國外專家與官員交流、檢討政府資訊安全問題、討論解決方案的時候,碰到的第一個挑戰,就是回答「這是誰的工作」(Whose job is it? Who is the “mission owner” responsible for protecting your network and information?)。誰負責規劃系統、平時監控存取紀錄與異常行為、要求使用者遵守安全規定(並有權力懲處,如暫停個人的系統權限),甚至依照遭受攻擊的模式而調整系統架構?這個專責單位需要被授權,為機關的系統與資訊安全負責。

任何曾在具相當規模企業工作的人,對「安全官」(security officer) 的角色都不陌生。政府是我們國家最大、最重要的企業,但目前沒有人在第一線「主責」機關內的安全事務。

保護政府資訊所存在的問題,涉及太多單位──國發會主管 GSN(政府網際服務網)骨幹;行政院資安處負責資安的政策制定、工作執行與產業發展;國安局負責情報蒐集,掌握境外勢力對政府的攻擊(但不負責防護);調查局最近成立資安工作站;然而實際上坐在政府機關內部的廉政署政風人員,名義上負責「機密維護」,實際上著重在肅貪──結果是權責不明。有專責,才有負責,也才可能究責。

缺乏資源

政府有1,300多個中央行政機關與事業機構(不含學校);所屬公務員近17萬人(若納入國軍,總人數就加倍)。若在每個單位設置資安人員,不但不切實際,也無法確實因應政府所承受的系統性攻擊;因為攻擊模式只會不斷調整,並且找最弱的一環來切入。

合理的政策方向,應該是由中央單位管理、以軟體設計取勝的資訊系統(centralized and software-based solutions);少一點預算在硬體採購、多花一點心思在系統設計,這必然是雲端的架構。最核心的安全工作不能外包,需要培養體制內的專業人才(需要預算和員額),因為沒有委外廠商會比自己人還在乎內部安全。

缺乏公務的認知

如果有專責單位負責機關的資訊安全、有更符合需求的資訊系統,我們接著必須要求公務只能透過公務裝置(無論電腦或手機)處理。如此,才可能監控任何系統上的異常,並保留紀錄。這表示使用習慣的改變:公務必須透過官方電郵、不可以用 Line 或個人電腦;機敏工作不能遠距處理;有些網站不能連公務系統。這些看似革命性的規範,其實在國際企業工作的台灣人都天天遵守,相信我們的政府也可以做到。

若要求官員更謹慎管理政府的機敏資料、用公務電腦與手機執行「公務」,那麼政府檔案的定義就必須擴大。目前,依照《檔案法》,有「依照管理程序,而歸檔管理」的資料(換句話說,有掛文號的公文)才屬於公務檔案。

關鍵是:政府資訊只會持續地數位化;既有的漏洞、特別是體制上的缺陷,若不改善,也會持續被利用。這一次,因為外洩的資料有其政治渲染力,社會大眾才看到問題。政府系統在平時頻繁地遭受入侵,早就在發生。

政府所面對的挑戰,許多國家與跨國企業都親身經歷,以此借鏡,能避免走冤枉路。我們平日與國內外產業界接觸交流,深知很多專業人才樂意分享經驗。政府資訊是全民資產。我們必須善用這次教訓,勇敢面對、檢討並改善政府的資安機制。

更多文章

存在或不存在?期待臺灣的網域防衛軍
本刊編輯
一封來自考選部的澄清函,引導我們對國安局特考做更深入的研究。我國的資安高手,若想從事國家網域防衛工作,需要具備什麼資格、通過什麼樣的測驗?國安單位透過哪些管道招募網軍?一周的查證之旅,帶給我們三個發現。
如何評估並揭露外國政府在我境內的影響活動?
美國中央情報局、聯邦調查局和國家安全局
借鏡美國情報單位的檢討。情報的蒐集、綜合及判斷涉及許多敏感的工作;政府怎麼適度公開情報結論,又不透露我們的情蒐手段及來源呢?應該提出什麼樣的客觀依據,並如何向社會解釋其判斷標準,以維護情報體系在民主國家至關重要的公信力?美國三個情報單位在 2017 年 1 月聯合出版的這一份公開報告,揭露俄國政府在美國 2016 年總統大選期間的媒體操弄影響活動,值得借鑑。
軍隊改革刻不容緩:蔡總統應該為國軍做的三件事
于孝斌
近來國軍負面消息不斷:鬧自殺、求退役。新任三軍統帥蔡英文總統,應認真針對軍中文化做革命性的改革,讓軍隊真正專業化,否則花再多錢買武器、造潛艇,都沒用。