台灣政府骨幹網路被攻擊十萬次很嚴重嗎
本篇關鍵字:態勢感知、骨幹網路、安全、大官、小民、政策
前幾天 (1/27) 的自由時報頭版。沒看到還好,看到嚇了一跳。感覺這條揭露行政院〈資通安全網路月報〉的新聞,要搭配幾件事一起看。
盤整各級零星但主要的事件
我們先用時序來看幾件事:
- 行政院國家資通安全會報第36次委員會議(擴大會議) @ 2020/12/25
- 行政院釋出〈資通安全網路月報〉@ 2021/1/15
- 「重新盤點大陸廠牌資通訊設備(急件)」填寫注意事項(案例) @ 2020/12/31?
以及另外幾件不是在這條時序上發展,但也攸關資訊安全的決策和討論,但這些已經是屬於「下游」和「前線」的事件:
- 台灣大哥大的A32事件 @ 2021/1/06
- 區間測速傳資安、道安疑慮 林佳龍拍板先下架 @ 2021/1/16
- 【國家應介入資安管理】盡速拆除校園空氣盒子 @ 2021/1/28
有另外兩件事也息息相關,分別在不同層面,在可見的未來將影響政府公務和資訊環境的安全維護作業:
- 數位發展部、資安法修訂以及「資安署」等一干情事(立法院的組織設計研析)@ 2020/12
- 強化資安國安戰略 國安會提三大工作重點 @ 2020/12/17
還有一件比較容易忽略的是「美國因素」,去年川普政府的5G乾淨網路計畫有很明顯「牽著台灣走」的發展(例如本宣言)。可是因為美國政府正在交接,很多位子的人還沒補齊,因此今年第一季美國對於在「國家安全」和「供應鏈安全」的政策,對於台灣在資訊安全的影響力道會是如何,目前透過公開資訊不得而知。不過光是關注美國就可以耗掉好幾個團隊的能量。台灣政府習慣用一張剪報一個表格就帶過(例如:第六期國家資通安全發展方案),我們這邊暫時撇開美國因素。
網路好危險 怎麼好像事情很多
是很多沒錯,雖然不算是窮於應付,但利益攸關者實在不容易看出要怎麼跳脫窮於應付寫報告的窘境。報告越來越多,但上級決策單位處理的「頻寬」夠不夠?需要這些「情資」來判斷要如何強化資訊安全聯防體系,這又是如何達到的?經證實的駭侵事件和威脅情資來源本來就不虞匱乏,但要如何運用?這又是另外一門大學問。
資訊安全屬於新興的安全領域,交通安全也是安全領域,國防安全更是安全領域的重中之重。但資訊安全相對來說最不容易被察覺到駭侵,交通安全對民眾而言是最為直接(如:紅燈停綠燈行的安全原則)。國防安全則是近來如台灣防空識別區 (ADIZ) 頻繁遭致「入侵」的訊息,因為國防部一改過去態度積極主動公布,一般民眾才有所感覺。我們可以簡單地說,這叫做態勢感知 (situational awareness) 的過程。Wikipedia 上對於態勢感知的描述是這樣的:
對應在時間和空間的環境性元素及事件的知覺,並包括對它們意思的理解,及對一些變數(例如時間或預定事件)改變後的狀態預測。它也是一個學科,專門研究環境中要素的理解對決策的影響,應用在複雜和動態的領域,包括航空、航空交通管制、航海導航、發電廠操作、軍事命令與控制、緊急服務例如滅火及警務,也包括普遍性而複雜的事情,例如駕駛汽車或騎單車。
我們幾乎每一個人都生活都和網路空間有所交集,那麼對於網路空間的感知我們是如何達到的?其實就是你我手上的手機和電腦罷了。但是網路空間的大規模駭侵和威脅,尤其是政府骨幹網路飽受刺探和攻擊這些事,是你我感受的到嗎?
答案當然是幾乎看不到也摸不著。
在實務上,只有幾個單位被授權和擁有資源能接受指導、搜集、分析和派送某些威脅情報 (threat intelligence)。這些情報派送對於利益攸關者有提升威脅感知的效用,對於挑起主動威脅的對方,也有「讓你知道我也知道什麼」的效果。
那麼,在《自由時報》頭版揭露台灣政府骨幹網路在上個月接受到了十萬次的攻擊,這傳遞出來的訊息是什麼?該如何解讀?對不同人而言會有完全不同的意義。自由也刊登了另外兩位專精資訊安全學者的意見:一位曾擔任過「國網」的資安長,另外一位過去是「國研院」的副院長。兩位在政府體系內都有服務的經歷,對於這些威脅樣態的感知,就算目前不是在核心的第一線,至少也會有豐富的處理 (processing) 經驗。
從上面公開揭露的各種事件時序上來看,對於政府機關內負責資訊安全的主責人員而言,當然不會沒有管道知道這些事情。但這種不需要民眾知道的事情上了頭條是好是壞?到底上了頭版對於整體社會的「態勢感知」,會留下什麼印象?這些印象對於「推動」什麼事情會有幫助?哪些人會因為整體社會的「態勢感知」提升或改變,而進一步「受益」或「受害」?
我們也可以想想天天有外國的軍機飛到台灣的防空識別區,你我聽到這訊息,是緊張,還是疲乏了?
原來我的設備就是攻擊政府骨幹網路的跳板?
本來這些和你我都沒什麼關係,但一封十二月底下旬的公文,卻讓整個態勢感知的討論變得詭譎難料。這份傳說中的公文是「重新盤點大陸廠牌資通訊設備(急件)」,在業者之間引起不少驚呼。到底這份公文傳達了出什麼訊息?
我們也不用瞎猜,因為在資訊安全意識和整備度相對薄弱的教育體系,都有了主動的反饋。
「全教產」站在教師立場發出此聲,實在真是難為也。任誰看了公文內容都會飽受驚嚇。公文劈頭而言是:
一、鑒於近期資通安全威脅日益增加,為降低資通安全風險疑慮,爰本院秘書長重申各機關使用資通訊產品之相關原則
公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體
個人資通訊設備不得處理公務事務,亦不得與公務環境介接
各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理,且不得與公務環境介接
學校體系的教職員並非少數,而且鑑於業務的性質,教職員和聘僱人員使用個人資通訊設備處理公務事務,絕對不可能是少數。這份公文來的又急又快,但我「個人資通訊設備」有必要管制到這麼嚴格嗎?這點當然可以討論,但教育體系收到教育部來的公文,這個「態勢感知」是直接用行政通知「壓下來」的, 對教職員生而言,並沒有什麼「感知」的充分準備和時間。況且這個是「相關原則」,我辦不到你又奈我如何?「上有政策下有對策」,這我們還不懂嗎?
教育體系或許也不是資訊安全「規範密度」需要很高的機關,但行政院其他機關?行政院各政務委員的辦公室?對外必須作為聯繫管道的各級發言人室還是秘書處?
本次盤點範圍應為「全機關」、 「委外廠商」 及「分包廠商」 ,而非機關內部之資訊單位或特定單位
這下子不是資訊單位自己的事了。行政機關林林總總數量加起來搞不好接近上萬,委外廠商、分包廠商等從業人員更是不計其數。這份公文的通知在從提高威脅態勢感知的角度來說,可說是達成了目的。不過,下一步是什麼?是不是「上面」看到了什麼事,懷疑什麼事,但我們不需要知道太多,反正按表操課打發打發做了就是?
感覺好可怕 但好像也不會怎麼樣
行政院資安處接受《自由時報》訪問時的說法是:
正聚焦分析「尚需調查類」的情資,必須了解這些是什麼、會不會是新樣態攻擊或大規模攻擊的前奏。
在我看來這傳達出了幾則訊號 (signal):
- 資安署(數發部)箭在弦上
- 「資安管理法」修正,我們準備好了
- 威脅情報 (threat intelligence) 處理的能量嚴重不足
- 順水推舟,成立資安法人(數發部管轄)
- 為去年底的急件「盤點資通訊設備」之必要提供有力的說帖
- 另有不可言說不能猜想的情勢發展?
無論如何,頭版的訊息都不該三兩下就無聲無息。整體社會對這方面的感知,受制於資通訊領域和網路的特性,絕大多數的人都只能看到從自己電腦、手機螢幕由演算法所構成的網路世界。台灣整體社會目前所面臨的安全威脅,我相信在幾大面向的普遍警覺性是有的。但光有警覺是不夠的,不分青紅皂白的警覺也會干擾正常的經濟文化活動。網路空間的特質,讓攻擊行為和威脅不適用於「國內」「國外」的概念分野,其威脅和風險甚至是24小時持續發生。某種比較完整的「安全態勢報告」,某種政府本身已公布的安全戰略(不是工作要點)的辯證,應該是2021年我們必須要注意的重中之重。
這不能以「資安即國安」矇混帶過(編按:國防部都能出 QDR 了)。對了,「網路無國界」,還有其他「跨境」的因素還沒考慮呢。
