駐外人員染疫問題的另外隱憂
駐美代表處可能是在外交部的編制內,規模最大,戰略地位最重要,人手也多,再加上業務龐雜。短短時間內十數人染疫,雖不全然是工作之間互有交集的職員眷,但新聞報導出來確實是令人擔憂。而且美國政權正在紛擾交接,對美國政府的核心外交人員必需居家隔離,等於是暫時不能出訪。這不啻是在政權交接之際的雪上加霜。
武漢肺炎的防疫經驗,台灣有比較充足的防疫經驗。人在國內都沒什麼問題,但怎麼到國外就頻頻感染?環境不同當然影響很大,但在緊急時刻,不是探討這件事的時機。
隔天我們馬上看到防疫指揮中心遠端和駐美代表處連線,面授防疫和衛教機宜。駐外人員本來工作環境和生活條件就和國內不同,在肺炎期間,一來缺乏台灣社會安全網的全面支援,二來在地能動的資源也有限。在不同國家面對排山倒海的感染潮,不會「中標」才是奇蹟。
但在感染肺炎之餘,卻有另外的隱憂。
由於是團隊被迫遠端工作,這時候更需要注意資通訊的安全。一般來說,遠端工作就是脫離企業網路和資訊安全的環境。在實體溝通無法進行時,所有的通訊和資訊行為,都會被迫走網際網路。此時通常是個人電腦和通訊網路最容易遭致駭侵的時機。
這半年,全球來各大政府、醫院、企業等被勒索病毒攻擊成功的案例層出不窮,不少案例就是個人在遠端工作時,由於使用個人資通訊載具,對於遠端工作的資通訊安全的要求過於輕忽。有些樣態的病毒,在疏於管理和心防時,潛伏進入個人電腦,再伺機進入企業網路之內。等到遠端的攻擊指令下達後,再對企業的網絡進行攻擊。
我不知道台灣駐美代表處的資通訊安全環境如何,也不知道人員在資通訊安全的訓練是什麼單位在指導負責。我記得前兩年台灣政府有單位派員赴部分外館,協助進行「資訊安全健檢」。後來發現不少駭侵的樣態,此事也公諸於世。但防止駭侵就像是防疫一樣,不是今天看診完沒事了,下週就一定會沒事。資通訊安全的防護是一個持續性的困難過程,而在緊急期間,沒有紮實訓練和資源的團隊,更容易成為攻擊的優選目標。
照理說,駐外使館會有外交用的報文系統,拍發的機器會有加密解密的機制,走特規的網路等。什麼樣的訊息要走什麼樣的密等頻道,在成熟國家的大型外館,會有專門處理的人員、訓練和設備。這些人當然不一定是外交出身的人員,有的是安全背景的人員。假設我們的駐美代表處也有符合現代標準的資訊安全環境,那麼在遠端工作期間,要如何緊急部署能支援關鍵業務執行,但卻又敏捷不犧牲安全防護的資通訊網路,這顯然不是一個簡單的課題。
但人身安全畢竟是傳統安全概念下最要應先要確保的大事。所以 CECC 趕緊和駐美代表處連線,這是很好的安排。可是在通訊和資訊系統的安全呢?這會是誰的事?外館不是只關了一個,而且其他外館的資源一定比駐美代表處少。防疫要遠端指導和衛教都有相當的難度了,更何況是複雜度更高,專業完全不同的資通訊安全?肺炎病毒畢竟不會被人操作直接攻擊外交人員眷屬(這不是炭疽熱病毒…),但網路駭侵通常是有高度針對性的。
這就是我說的隱憂。
隱憂所發生的時機,一個是團隊「散開」,被迫遠端工作的時候。另一個時間點是「歸建」恢復原地辦公的時候。或許相關單位應該主動介入了解評估,畢竟人身安全雖然至關重要,但機敏資訊的安全若失去了,未來能造成的傷害 (aka compromise),也是會讓人很頭大的。
