專責負責課責 政府資安不能等

過去兩天，總統府爆出內部資料疑似外流，其資訊系統或電腦很可能遭受侵駭。政府資訊體系龐大，有太多的問題，也有很多的作業方式需要改善，體制內的相關公務員都清楚。這些的確需要面對，但從政策擬定的角度，我們看到幾個核心的制度問題，必須優先處理，專業人員才可能確實解決執行與技術面的問題。

缺乏專責單位

我們過去跟國外專家與官員交流、檢討政府資訊安全問題、討論解決方案的時候，碰到的第一個挑戰，就是回答「這是誰的工作」（Whose job is it? Who is the “mission owner” responsible for protecting your network and information?）。誰負責規劃系統、平時監控存取紀錄與異常行為、要求使用者遵守安全規定（並有權力懲處，如暫停個人的系統權限），甚至依照遭受攻擊的模式而調整系統架構？這個專責單位需要被授權，為機關的系統與資訊安全負責。

任何曾在具相當規模企業工作的人，對「安全官」（security officer） 的角色都不陌生。政府是我們國家最大、最重要的企業，但目前沒有人在第一線「主責」機關內的安全事務。

保護政府資訊所存在的問題，涉及太多單位──國發會主管 GSN（政府網際服務網）骨幹；行政院資安處負責資安的政策制定、工作執行與產業發展；國安局負責情報蒐集，掌握境外勢力對政府的攻擊（但不負責防護）；調查局最近成立資安工作站；然而實際上坐在政府機關內部的廉政署政風人員，名義上負責「機密維護」，實際上著重在肅貪──結果是權責不明。有專責，才有負責，也才可能究責。

缺乏資源

政府有1,300多個中央行政機關與事業機構（不含學校）；所屬公務員近17萬人（若納入國軍，總人數就加倍）。若在每個單位設置資安人員，不但不切實際，也無法確實因應政府所承受的系統性攻擊；因為攻擊模式只會不斷調整，並且找最弱的一環來切入。

合理的政策方向，應該是由中央單位管理、以軟體設計取勝的資訊系統（centralized and software-based solutions）；少一點預算在硬體採購、多花一點心思在系統設計，這必然是雲端的架構。最核心的安全工作不能外包，需要培養體制內的專業人才（需要預算和員額），因為沒有委外廠商會比自己人還在乎內部安全。

缺乏公務的認知

如果有專責單位負責機關的資訊安全、有更符合需求的資訊系統，我們接著必須要求公務只能透過公務裝置（無論電腦或手機）處理。如此，才可能監控任何系統上的異常，並保留紀錄。這表示使用習慣的改變：公務必須透過官方電郵、不可以用 Line 或個人電腦；機敏工作不能遠距處理；有些網站不能連公務系統。這些看似革命性的規範，其實在國際企業工作的台灣人都天天遵守，相信我們的政府也可以做到。

若要求官員更謹慎管理政府的機敏資料、用公務電腦與手機執行「公務」，那麼政府檔案的定義就必須擴大。目前，依照《檔案法》，有「依照管理程序，而歸檔管理」的資料（換句話說，有掛文號的公文）才屬於公務檔案。

關鍵是：政府資訊只會持續地數位化；既有的漏洞、特別是體制上的缺陷，若不改善，也會持續被利用。這一次，因為外洩的資料有其政治渲染力，社會大眾才看到問題。政府系統在平時頻繁地遭受入侵，早就在發生。

政府所面對的挑戰，許多國家與跨國企業都親身經歷，以此借鏡，能避免走冤枉路。我們平日與國內外產業界接觸交流，深知很多專業人才樂意分享經驗。政府資訊是全民資產。我們必須善用這次教訓，勇敢面對、檢討並改善政府的資安機制。