※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2020-06-05 22:34:55
看板 Gossiping
作者 標題 [新聞] 很多機密資訊早已洩漏,只是未公開!
時間 Fri Jun 5 15:19:12 2020
https://www.cw.com.tw/article/article.action?id=5100498
總統府為何被駭?專訪吳怡農:各部會資安,竟是...|天下雜誌
![[圖]]()
一封「魯蛇」的駭客郵件,讓蔡英文立刻將資安列為台灣6大核心戰略產業之一,這能補破網嗎?曾任職國安會的吳怡農接受《天下》專訪,再拋出打造「小內網」概念。 ...
![[圖]](http://i4.disp.cc/t/0/storage.googleapis.c95c6bac9b91d037ec97a159888a0ba5f.jpg)
總統府為何被駭?專訪吳怡農:各部會資安,竟是查貪腐的人兼管
Web Only?
文?
林佳誼
?2020-06-01
一封「魯蛇」的駭客郵件,讓蔡英文立刻將資安列為台灣6大核心戰略產業之一,這能補
破網嗎?曾任職國安會的吳怡農接受《天下》專訪,再拋出打造「小內網」概念。
「如果不談或不面對問題,不承認有問題,我們不可能改善,」一身慣穿的輕便粉紅襯衫
與球鞋,與前民進黨立委參選人、現在是國防安全議題倡議組織「壯闊台灣聯盟」發起人
吳怡農臉上的嚴肅神情,形成強烈反差。
與球鞋,與前民進黨立委參選人、現在是國防安全議題倡議組織「壯闊台灣聯盟」發起人
吳怡農臉上的嚴肅神情,形成強烈反差。
會這麼嚴肅,是因為一封署名為tsailoser(蔡魯蛇)的郵件,在520前夕攻破了總統府,
戳破總統蔡英文口中喊了4年的「資安即國安」政策。讓資安成了國家機密安全維護中最
脆弱的一環。
戳破總統蔡英文口中喊了4年的「資安即國安」政策。讓資安成了國家機密安全維護中最
脆弱的一環。
很多機密資訊已遭洩漏,只是未公開
事發後,吳怡農第一時間在臉書發出長文,成為綠營第一隻黑烏鴉。曾任職國安會的他,
直指政府資訊網「極為脆弱」,「很多對國家至關重要、更機密的資訊已遭洩漏,只是尚
未公開。」
直指政府資訊網「極為脆弱」,「很多對國家至關重要、更機密的資訊已遭洩漏,只是尚
未公開。」
身為備受栽培的政治明星,吳怡農為什麼要當綠營的黑烏鴉?過去在國安會任職期間,他
究竟看到了什麼?
他接受《天下》專訪,說明他跳出來的原因:
「政府機構體系這麼大,但是它的架構並沒有反應現在世界的運作方式,」吳怡農說,「
很多原因導致今天的問題,而要改善、克服這麼多困難的第一個前提,就是起碼大家要同
意有問題。」
很多原因導致今天的問題,而要改善、克服這麼多困難的第一個前提,就是起碼大家要同
意有問題。」
事實上,蔡英文早在首任總統任期之初,制定國家資安政策方針時,就曾經高舉「資安即
國安」政策。過去4年,政府也確實推出多項令人眼花撩亂的資安「新政」,包含第一個
行政院資安專責機構「資通安全處」、第一部資安專法三讀通過、第一任國家資安長(現
由行政院副院長陳其邁兼任)等等,聲勢不可謂不浩大。
國安」政策。過去4年,政府也確實推出多項令人眼花撩亂的資安「新政」,包含第一個
行政院資安專責機構「資通安全處」、第一部資安專法三讀通過、第一任國家資安長(現
由行政院副院長陳其邁兼任)等等,聲勢不可謂不浩大。
但曾經在總統府國安會任職,吳怡農卻看見許多漏洞。
漏洞1》缺統合,各部會自架內網
吳怡農發現,政府徒設眾多資安單位,卻缺乏整合,人事架構完全無法應對現實世界的國
防資安威脅,還形成「政風管資安」的荒謬設計。
他攤開政府的體系,從主管GSN(政府網際服務網)骨幹的國發會,負責資安政策制定、
工作執行與產業發展的行政院資安處,負責情報蒐集的國安局,到最近成立的調查局資安
工作站、針對網路犯罪成立的內政部偵九大隊,看似織起細密網絡。
工作執行與產業發展的行政院資安處,負責情報蒐集的國安局,到最近成立的調查局資安
工作站、針對網路犯罪成立的內政部偵九大隊,看似織起細密網絡。
但實際上,疊床架屋的設計,卻留下國安大漏洞。這是因為,國發會只管GSN骨幹,卻管
不了各部會如何在骨幹上自行架構內網;資安處含轄下技服中心,人力僅約1、200人,難
以掌握部會如何落實資安。國安局、調查局、刑事警察局,平常只能在各機關內部活動,
只能在出事時介入調查。
不了各部會如何在骨幹上自行架構內網;資安處含轄下技服中心,人力僅約1、200人,難
以掌握部會如何落實資安。國安局、調查局、刑事警察局,平常只能在各機關內部活動,
只能在出事時介入調查。
那麼,「平常是誰在每天保護系統的安全?感覺是各機關的資訊人員,但其實在政府體系
裡負責機關安全維護的理論上卻是政風,」吳怡農指出,根據現行的政府組織章程,機關
安全維護責任歸屬仍是廉政署的政風人員,政院機關內部沒有其他單位負責這一塊。
裡負責機關安全維護的理論上卻是政風,」吳怡農指出,根據現行的政府組織章程,機關
安全維護責任歸屬仍是廉政署的政風人員,政院機關內部沒有其他單位負責這一塊。
坐在政府機關內部的政風人員,名義上負責「機密維護」,有權在內部監督,實際上卻無
資安專才,主要工作都在肅貪。實際上各機關平時多由資訊科處編列少部分人員來勉強維
繫最低限度資安,真正出事了,只能由機關外的檢調國安單位來亡羊補牢。
資安專才,主要工作都在肅貪。實際上各機關平時多由資訊科處編列少部分人員來勉強維
繫最低限度資安,真正出事了,只能由機關外的檢調國安單位來亡羊補牢。
漏洞2》缺人力,外包出事就「大事化小」
如果檢調國安體系真能及時掌握狀況,或許還不是最糟。但真相是,連這一點也有困難。
由於各機關單位裡頭真正專責資安的人員比例少之又少,依法規定政府資安人力需求估計
約為1千多人,實際上仍有約500人缺口待補。人力不足下,仰賴外包已成為公開秘密。每
次出事,外包廠商只對部會報告,而部會心態則是大事化小、小事化無,不想動輒上報至
國安層級,經常指示廠商盡速解決,讓系統恢復正常就好。
由於各機關單位裡頭真正專責資安的人員比例少之又少,依法規定政府資安人力需求估計
約為1千多人,實際上仍有約500人缺口待補。人力不足下,仰賴外包已成為公開秘密。每
次出事,外包廠商只對部會報告,而部會心態則是大事化小、小事化無,不想動輒上報至
國安層級,經常指示廠商盡速解決,讓系統恢復正常就好。
結果就是,久而久之,國安系統長期狀況外,缺乏系統性的完整資訊,難以掌握全局。
「大家只是從各自部會思考防堵,可是別人是對你整個政府在攻擊,」吳怡農說,「許多
原本看似孤立的資安事件,如果進一步整合起來,其實可以看到很多不斷發生的模式與途
徑,告訴我們這是一個系統性、策略性、針對性的攻擊,那麼我們的防範措施就會不一樣
,不會把單一事件當作只是某台電腦中毒這麼簡單。」
原本看似孤立的資安事件,如果進一步整合起來,其實可以看到很多不斷發生的模式與途
徑,告訴我們這是一個系統性、策略性、針對性的攻擊,那麼我們的防範措施就會不一樣
,不會把單一事件當作只是某台電腦中毒這麼簡單。」
砍掉重練!從全新、乾淨的小內網做起
資安「新政」眾多擘劃,或許本是立意良善,但見樹不見林,在先天不良的基礎上又疊床
架屋。多頭馬車下,政府國防資安工作反而被層層打散、外包、瑣碎化,缺乏全局思維且
反應遲緩,面對不斷變換策略尋找系統弱點的境外攻擊,就像一隻笨重的大象被螞蟻扳倒
。怎麼解?
架屋。多頭馬車下,政府國防資安工作反而被層層打散、外包、瑣碎化,缺乏全局思維且
反應遲緩,面對不斷變換策略尋找系統弱點的境外攻擊,就像一隻笨重的大象被螞蟻扳倒
。怎麼解?
立委選後選擇不進入體制內,吳怡農拋出兩大概念,其一,是政府有必要破釜沉舟重新打
造資訊系統,首先從「小內網」做起。其二,是在這個新的資訊網絡之外,還要搭配有效
落實的安全權限管理機制。
造資訊系統,首先從「小內網」做起。其二,是在這個新的資訊網絡之外,還要搭配有效
落實的安全權限管理機制。
「我們的解決方案必須是可執行的,現實是政府不可能成立一個5千人的資安部,但我們
可以有一個集中化的資訊系統,來做有效的管理,」吳怡農說。
他認為,現在GSN由國發會主管,但骨幹上各部會機關內網並不統一,彼此又缺乏安全的
橫向溝通管道,資安破口多不勝數。長時間下來,整個政府體系資訊網絡中早不知暗藏多
少的入侵程式、後門與病毒。「現在有誰在我們的網路裡面,我們是不知道的,」想徹底
解決問題,必須重新打造一個系統。
橫向溝通管道,資安破口多不勝數。長時間下來,整個政府體系資訊網絡中早不知暗藏多
少的入侵程式、後門與病毒。「現在有誰在我們的網路裡面,我們是不知道的,」想徹底
解決問題,必須重新打造一個系統。
「這是大工程,怎麼辦?」吳怡農指出,美國國防部就有一個內網,由國防部架設,但通
用在所有可以接觸國家機密的部會機關。台灣也可以從最核心的系統開始,先打造一個全
新、乾淨的小內網,優先將涉及國家安全的機密,統一在這個小內網中保護處理。
用在所有可以接觸國家機密的部會機關。台灣也可以從最核心的系統開始,先打造一個全
新、乾淨的小內網,優先將涉及國家安全的機密,統一在這個小內網中保護處理。
無論內網隸屬哪個部會,重點是必須有一個專責單位來規劃設計與負責。所有牽涉到國安
機密的通訊與數據,都必須留在這個內網,「想像不管是在國防部、外交部、國安局,還
是總統府,都有這樣一台電腦連接內網,包含你的Word、簡報、Excel分析,你寫的備忘
錄,都只能在這個內網上產製與轉發。」
機密的通訊與數據,都必須留在這個內網,「想像不管是在國防部、外交部、國安局,還
是總統府,都有這樣一台電腦連接內網,包含你的Word、簡報、Excel分析,你寫的備忘
錄,都只能在這個內網上產製與轉發。」
關鍵在使用權限,不是官愈大就可接觸愈多機密
不過,「內網只是硬體,背後還要有一個制度,」吳怡農強調,內網的另一環,是使用者
的許可權問題。許可權就是,決定誰可以接觸國家機密?誰保護資訊,資訊存放在哪裡?
誰可以存取這個資訊?「這背後必須有個機制是賦予安全權限,而且必須各部門一體適用
,不然各機關各行其是,就沒有用了,」他強調。
的許可權問題。許可權就是,決定誰可以接觸國家機密?誰保護資訊,資訊存放在哪裡?
誰可以存取這個資訊?「這背後必須有個機制是賦予安全權限,而且必須各部門一體適用
,不然各機關各行其是,就沒有用了,」他強調。
在國安會時,他負責的專案之一就是安全權限檢討。結果赫然發現,台灣公部門人員的安
全查核表格,不僅查核內容薄弱,落實程度也極為低落。「台灣現在,老實說是0,」他
坦言。
全查核表格,不僅查核內容薄弱,落實程度也極為低落。「台灣現在,老實說是0,」他
坦言。
每個民主國家都有人員權限管理制度,什麼位階、什麼職權,可以接觸什麼機密,都有一
套原則來管理,不是單純官愈大就可以接觸愈多機密,反而導致「愈機密的資料,管理卻
可能愈不嚴謹」的現象。
套原則來管理,不是單純官愈大就可以接觸愈多機密,反而導致「愈機密的資料,管理卻
可能愈不嚴謹」的現象。
回到總統府遇駭,吳怡農強調,「這件事真正嚴重的地方是,這告訴我們,如果這個(府
內文件)都拿得到,說明現在資訊系統的管理方式是有問題的,」除了事件調查,更重要
的是要有通盤檢討整體國防資安政策的決心。
內文件)都拿得到,說明現在資訊系統的管理方式是有問題的,」除了事件調查,更重要
的是要有通盤檢討整體國防資安政策的決心。
過去在媒體採訪中曾說過最喜歡粉紅色的鮮豔,吳怡農此番大膽直言,不是想做綠營黑烏
鴉,而是能夠喚起人們注意的「粉紅色」烏鴉。(責任編輯:王儷華)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.77.240.142 (臺灣)
※ 文章代碼(AID): #1UsV7oVU (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1591341554.A.7DE.html
噓 : 太長 END1F 06/05 15:19
※ 編輯: Macmini2 (42.77.240.142 臺灣), 06/05/2020 15:20:00→ : ? 我想說標題好潮2F 06/05 15:19
推 : 五樓包莖處男3F 06/05 15:20
→ : 格式有符合板規嗎4F 06/05 15:21
推 : 找台積電來 可以就台灣資安嗎?5F 06/05 15:21
→ : 現在是民進黨執政 國安 資安還洩漏 唐鳳幹假的?6F 06/05 15:21
※ 編輯: Macmini2 (42.77.240.142 臺灣), 06/05/2020 15:22:08→ : 幹7F 06/05 15:21
推 : 講真話 推8F 06/05 15:22
→ : 還是民進黨在做共產黨的小弟9F 06/05 15:22
→ lwamp …
噓 : 又再黨國餘孽 都輪幾次了11F 06/05 15:24
→ : 農夫農婦又要變多了?12F 06/05 15:24
噓 : 不是阿 所以你要罷免的吳斯懷提的問質疑 你是沒看到喔13F 06/05 15:25
噓 : 民進黨第一天執政嗎?14F 06/05 15:26
→ : 他不偷國防資料 只偷民進黨開會資料 還發給記者 你怪到國15F 06/05 15:26
噓 : 白癡16F 06/05 15:27
→ : 防 怎麼就是不敢承認是總統府內部自己人發的?17F 06/05 15:27
推 : 要不要先說說你們民進黨年初怎被入侵的18F 06/05 15:27
推 : 寫那麼多 內文卻跟文組認識的一樣19F 06/05 15:27
噓 : 都執政多久現在才想到資安嗎?20F 06/05 15:27
→ : 明明是你們派系內鬥21F 06/05 15:28
→ : 文組的吳怡農難怪說起來跟文組認知的方式一樣22F 06/05 15:29
推 : 賀明你說說看?23F 06/05 15:29
推 : 政風管資安 真的是笑死了... 根本是文組管資安的意思吧24F 06/05 15:33
推 : 今天任何一個綠共黨首長名字改成柯文哲,馬上砲轟一個25F 06/05 15:38
→ : 月,看看桃園就知道差別待遇在哪
→ : 月,看看桃園就知道差別待遇在哪
推 : 推27F 06/05 15:42
※ gouba:轉錄至看板 PublicServan 06/05 15:47
推 : 借轉,感謝28F 06/05 15:56
→ : 不都有風聲到處傳是有個北七整台筆電沒上鎖被人幹走資料29F 06/05 15:57
→ : 所以後面都沒啥後續抓人消息了 因為哪裡來的駭客
→ : 所以後面都沒啥後續抓人消息了 因為哪裡來的駭客
推 : 所以現在對於資安有什麼新作為了嗎31F 06/05 16:00
推 : 研究一堆民進黨又不給官位 去選舉當民代有屁用32F 06/05 16:43
→ : 哇 之前吹成這樣 現在蟑螂要把他打成中共同路人了嗎?33F 06/05 16:48
→ : 當你的國家有一成人民想要賣國 什麼資安都不用想
→ : 當你的國家有一成人民想要賣國 什麼資安都不用想
推 : 唐鳳國民黨聘的,正是黨國餘孽ㄧ員35F 06/05 19:07
→ : 這咖是三小啦 落選仔又要高升了嗎36F 06/05 22:13
推 : 敢違背綠營噁內宣 還行37F 06/05 22:18
--
※ 看板: Gossiping 文章推薦值: 0 目前人氣: 0 累積人氣: 259
作者 Macmini2 的最新發文:
![]()
今天台南一例,其實很多網友說:不篩當然只有一例。這種說話應該是沒錯。 台南恐怕有很多潛在的危險。 大家記得經過台南不要下交流道。62F 27推 5噓![]()
慈濟拿你的捐款去辦學校 賺錢 慈濟拿你的捐款去開醫院 賺錢 然後 再拿賺來的錢去買土地 變更 然後 再繼續開醫院辦學校 再錢滾錢 就成了以下富可敵國的規模 釋證嚴法師當董事長的 16 家財團法人詳列如 …397F 174推 62噓- 國華街商圈一堆觀光客,看見人多就以為好吃。 其中一家賣冰淇淋,我還以為很好吃。 結果吃了後……重點是拿一百給他還不夠,還要掏零錢。比日本冰淇淋還貴! 誠心發問台南人,你們會去買嗎? …61F 29推 2噓
![]()
總統府為何被駭?專訪吳怡農:各部會資安,竟是查貪腐的人兼管 Web Only? 文? 林佳誼 ?2020-06-01 一封「魯蛇」的駭客郵件,讓蔡英文立刻將資安列為台灣6大核心戰略產業之一,這能補 …37F 15推 6噓![]()
本人只是一個小小魯蛇工程師,關於最近政府一連串荒腔走板的行政行為,我要提出問題 關鍵點供大家審慎思考: 一,政府對於政府電腦採購和應用程式的錯誤處置以及事後不追責,以戶政系統個資外洩 事件為例,負責廠 …60F 30推 6噓
點此顯示更多發文記錄
回列表(←)
分享