沉默的战争 资安就是国安
(图/行政院提供)
资通讯设备与服务早已是国人日常生活的一部分,但资讯安全却也是最常被忽略的国家安全议题。裴洛西访台后中国大陆实施大规模军演,激起台湾社会对国防改革的关注,然而在看得见的硝烟之外,网路世界的两岸攻防早在国人的眼皮下行之多年。如何有效提升国家关键基础设施和资料库的「数位韧性」是国家安全重大议题。
所谓「关键基础设施」,依据2014年《国家关键基础设施安全防护指导纲要》,至少包含:能源、水资源、通讯传播、交通、金融、紧急救援与医院、政府机关、科学园区与工业区等。可想而知,相关设施的资讯安全与数位韧性程度,高度攸关国人安危与国家安全。
以医疗院所为例,我国部分医院最迟在2020年便陆续遭受对岸的骇客入侵,样态至少有四种:一、植入木马程式窃取或删除资料。二、恶意瘫痪资料库,造成资料库无法正常写入读取,连带影响事后资料备份与资料抢救。三、恶意变更自动投药系统,如修改化疗点滴程式,使药剂以超过医令数倍,结果恐让患者致死。四、透过医院为跳板,入侵其他府机关主机、资料库。
试想,若我国能源、电信、交通等基础设施受到骇客攻击,那么停电、断讯、火车对撞等事故,必将严重破坏社会正常运行与民心安定。又或者,如果有心人士透过政府资料库或社群网路软体掌握到民众的政治态度、金钱流向、移动轨迹,或前述自动投药系统,轻则收到不胜其扰的垃圾广告,中则陷入诈骗或假新闻威胁,重则人身安全都曝露在风险之中。
由此可见,在万物联网的时代,网路攻击虽然看不见、听不着,但却能以极低的成本对国人和国家造成严重伤害。因此资讯安全是保障个人言论自由、财产安全、隐私权利,乃至于维持国家与社会自主性的重要防火墙。
另方面,由于裴洛西访台期间便利超商电子看板、台铁等电子看板被骇事件,及前述医院被骇事件可溯源至中国大陆的骇客组织,我们应认识到,不论相关网路攻击是否为中国大陆官方所为,台湾社会主要的资安威胁来自对岸,是无法回避的事实。
因此我们应理解,政府之所以在2020年12月18日颁定《全国各机关使用资通讯产品处理原则》,函令各公务机关资通讯产品「不得使用大陆厂牌」、「已使用或采购之大陆厂牌资通讯产品列册管理,且不得与公务环境介接。」实是基于中国大陆对台网路攻击日甚的事实,而非狭隘的蓝绿红政党意识型态之争。
面对资安风险,全面强化关键基础设施数位韧性,除了加强对资安设备、软体的投入外,防患于未然更是重中之重,这是政府各机关与辖下事业单位、法人的共同责任。单位主管与采购人员办理采购案时都应有更全面的资安与数位韧性思维:第一,扩大数位韧性涵盖范围。例如行政院进一步将禁用、汰换「陆厂」资通讯产品的范围,从机关与委外厂商,扩大到机关「场域内」,如出租商场、停车场等。
第二,采购案应更谨慎采购「陆制」资通讯产品。目前政府虽已禁止采购「陆厂」产品,但「陆制」产品仍因其价格优势和商源的不可替代性而未完全禁止。然而各种应用软体,或手机、电脑、伺服器、监视器、无人机甚至印表机等,都可能成为有心人士对台进行网路攻击的跳板。
有鉴于资讯战是中国大陆对台发动「三战」(舆论战、心理战、法律战)的重要媒介,公务机关办理采购案时,在规格上仍应最大程度考量「陆制」产品的资安风险,以期防患于未然。(作者为海基会前董事长)