时论广场》沉默的战争 资安就是国安（洪奇昌）

台铁、便利商店资讯看板遭网攻 准数位发展部长唐凤表示，正在研拟修法将公共电子看板纳管。（行政院提供）

资通讯设备与服务早已是国人日常生活的一部分，但资讯安全却也是最常被忽略的国家安全议题。裴洛西访台后中国大陆实施大规模军演，激起台湾社会对国防改革的关注；然而在看得见的硝烟之外，网路世界的两岸攻防早在国人的眼皮下行之多年。如何有效提升国家关键基础设施和资料库的「数位韧性」是国家安全重大议题。

所谓「关键基础设施」，依据2014年「国家关键基础设施安全防护指导纲要」，其中包含：能源、水资源、通讯传播、交通、金融、紧急救援与医院、政府机关、科学园区与工业区等。可想而知，通讯传播相关设施的资讯安全与数位韧性程度，高度攸关社会安危与国家安全。

以医疗院所为例，我国部分医院最迟在2020年便陆续遭受对岸的骇客入侵。已知的骇客攻击样态至少有四种：一、植入木马程式窃取或删除资料。二、恶意瘫痪资料库，造成资料库无法正常写入读取，连带影响事后资料备份与资料抢救。三、恶意变更自动投药系统，如修改化疗点滴程式，使药剂以超过医令数倍的点滴流速打入患者体内，结果恐让患者治疗产生具大改变。四、透过医院网站为跳板，入侵其他政府机关主机、资料库。

试想，若我国能源、电信、交通等基础设施受到骇客攻击，那么停电、断讯、火车对撞等事故，必将造成各种工作中断、财产减损和人员伤亡，严重破坏社会正常运行与民心安定。又或者，如果有心人士透过政府资料库或社群网路软体掌握到：民众的政治态度、金钱流向、移动轨迹，或前述自动投药系统；轻则收到不胜其扰的垃圾广告，中则陷入诈骗或假新闻威胁，重则人身安全都暴露在风险之中。

由此可见，在万物联网的时代，网路攻击虽然看不见、听不着，但却能以极低的成本，对国人和国家造成严重伤害。因此资讯安全是保障个人言论自由、财产安全、隐私权利，乃至于维持国家与社会自主性的重要防火墙。

另方面，由于裴洛西访台期间便利超商电子看板、台铁等电子看板被骇事件，以及前述医院被骇事件可以溯源至中国大陆的骇客组织，我们应认识到，不论相关网路攻击是否为中国大陆官方所为，台湾社会主要的资安威胁来自对岸，是无法回避的事实。

因此我们应理解，政府之所以在2020年12月18日颁定「全国各机关使用资通讯产品处理原则」，函令各公务机关资通讯产品（含软体、硬体及服务）「不得使用大陆厂牌」、「已使用或采购之大陆厂牌资通讯产品列册管理，且不得与公务环境介接。」实是基于中国大陆对台网路攻击日甚的事实，而非狭隘的蓝绿红政党意识形态之争。

面对资安风险，全面强化关键基础设施数位韧性，除了加强对资安设备、软体的投入外，防患于未然更是重中之重，这是政府各机关与辖下事业单位、法人的共同责任。

单位主管与采购人员办理采购案时，都应有更全面的资安与数位韧性思维：第一，扩大数位韧性涵盖范围。例如行政院于台铁电子看板被骇事件后，进一步将禁用、汰换「陆厂」资通讯产品的范围，从机关与委外厂商，扩大到机关「场域内」，如出租商场、停车场等。

第二，采购案应更谨慎采购「陆制」资通讯产品。目前政府虽已禁止采购「陆厂」产品，但「陆制」产品仍因其价格优势和商源的不可替代性而未完全禁止。然而各种应用软体，如：系统软体、APP及电脑作业系统；又或者手机、电脑、伺服器、监视器、无人机甚至印表机等具连网能力、资料处理或控制功能的硬体，都可能成为有心人士对台进行网路攻击的跳板。

有鉴于资讯战是中国大陆对台发动「三战」（舆论战、心理战、法律战）的重要媒介，公务机关办理采购案时，在规格上仍应最大程度考量「陆制」产品的资安风险，以期防患于未然。

（作者为海基会前董事长）