APrIGF 2017 參與心得 (1)

Day 0 參與 Cybersecurity Training 心得

APrIGF 2017 報到處 Day 0 的報到狀態

前言

從 APrIGF 2017 回來後,還處於一種疲倦的興奮感中。

由於是第二次參加 APrIGF 所以有很多面孔是去年就看過,但有了去年的經驗與上個月 TWIGF 的經驗,今年的會議場合反而更有勇氣實際與這些人接觸。

APrIGF 的議題主軸通常不會遠離以下:網路安全、人權、上網的權力、數位經濟與實現創新技術,依照四個主軸,亞洲各國再進行相關的提案,提案人也要負責去找其他亞太地區國家對其提案有興趣的參與者,這樣也才具有代表性,如果提案者及參與者都是同一個國家的人,議題可能較不具有亞太地區的代表性,在自己國家的 IGF 上討論即可。

今年 TWIGF 的辦理時間因素,所以來不及將內容或提案送至 APrIGF ,但台灣的工研院也自行向 APrIGF 提了兩個案子是熱門的身份驗證與區塊鏈,也都入選了,也有民間社群也在 APrIGF 中辦理了 Hakaton 並有不錯的迴響,不過我皆沒有參與這些議題,主要原因在於這個難得可以與亞太其他國家實際交流的機會裡,我期待聽到更多亞洲國家在各個議題裡的聲音與狀況。

除了 Day 0 的心得會獨立在此篇記錄外,其他日程的心得則是整合在主軸下討論,不會分天討論。

參與 Cybersecurity Training 心得

除了參與三天的大會議程外,因為朋友 Sze-Ming 的協助,得以參與由 Global Partner Digital (簡稱 GPD) 在正式會議前一天舉辦的 Cyber Security training。

這個活動其實從 APrIGF 前兩天就開始了,延續到 7 月27 日的下午。在參與的課程裡,雖然談的是網路安全,不過有更多時間是在談論網路安全的目標,為什麼我們該重視網路安全,在擬定網路安全的政策時要注意的人權議題,約有一個小時的時間進行角色扮演,最後則讓大家更了解Multistakeholder 的重要性與評估機制。

上午的課程講述(APrIGF 2017 官方照片)

實際演練的臨場感

在這場課程裡的實地演練是由 APNIC 的 Adli Wahid 帶領,將現場的參與者分為:法務人員、經理、資訊、公關,四組人員在面對資料被綁架勒索時的反應,除了犯罪集團的威脅外,面對投資人、董事會、民眾的信心,甚至是一旁等著拾人牙惠、落井下石的人,要如何處理及面對,也注意到不論是政府、企業、NGO等,都應該要有一套面臨網路攻擊或是資料外洩的標準處理程序。

  1. 我們探討了在事件發生前的跡象,認同公司裡的資訊安全政策裡就應該有對於信件裡不明連結、預防社交工程的處理規範。
  2. 事件發生了,必須保持不斷的溝通、協調、協作。IT人員要讓所有人了解事情的嚴重性,例如是哪些資料外洩?途徑是什麼?為什麼會有這㮔情況出現?之後如何防備,而經理人員要向董事會、投資人報備事情發生的狀況及公司處理的步驟;法務人員則要進行風險與傷害評估,評估「付錢」是否能將傷害降至最低?公關人員的語言要如何應付外界的狀況?這些幾乎是要同時進行,無先後順序。不過很重要的一點是,IT人員必須要能讓所有的人理解發生了什麼事、公司做了什麼來防範日後有同樣的情況發生、公司曾經做過
  3. 恢復投資人、民眾對組織的信心是很重要的。
  4. 資訊安全政策、資訊安全的教育是十分重要的。
  5. 很難建立「信任」,但只要開始努力,就會有陸續的正面回饋。

四個角色並沒有誰先誰後的順序,幾乎是同時都要行動的。

台灣的政府常會不定時進行資安演練,或是定時的檢查各部會的機房,相較於台灣政府的積極,民間企業對於這類事故較沒有應變能力,也才會在今年初出現券商被DDoS攻擊的事件,更甚至出現要求政府提供防護的荒謬理論。

企業自身需要有自己的資安政策與資訊安全教育,保護使用者、客戶的資料,同時保護自己公司的聲譽,並建立消費者對公司的信心,而不是要求政府給予協助,這樣的思維絕對是錯的。

最後則是介紹了London Process 和 Global Conference on Cyberspace(簡稱GCCS),同時再將參與人員分為四組,再針對GCCS 2015 的 9 頁聲明中提出修改建議,並作為今年將在印度召開的 GCCS 2017會議的基礎資料。

在今年的修改建議裡,每一組人都提到了:

  1. 多方利害關係人 (Multistakeholder) 機制的重要性
  2. 關於使用者在使用資訊產品時,線上、線下的安全性、隱私、個資的保
  3. 由於世界、科技時時都在改變,所以需要制定具有彈性、有效的法律

從約30 人的分組討論中,看到不同國家在網路安全上會有不同的議題與優先處理的排序,有些議題甚至是有些國家、政府人員無法理解的,所以在短時間內很難會有共識。藉由這樣的討論方式,找出不同的人對於共同內容找出共識,而就如 GPD 的 Lead Strategist 對當天參與者提到的,由於 GCCS 分別在布達佩斯 (2012)、首爾 (2013)、海牙 (2015) 討論過,所以在不同的年代,也會看到不同的注意重點。而當天的討論方式,其實也是演練了如何藉由多方利害關係人找出共識的方式,真的非常有趣,而不同國家的人也的確藉由這樣的機制找出了對 GCCS 2017 的建議共識。

GCCS 2017將在印度舉辦,在資訊安全、上網權力⋯⋯等網路治理愈來愈受到重視的時代,相信如何兼顧網路安全與人權,將會有更熱烈的討論。

參與人員

Adli Wahid 也在 APrIGF 中帶領類似的活動,也有人進行分享: