◎朱祥中
網路現今已成為各部會經營國家建設不可忽視的領域,網路上除一般使用者,也有居心不良的個人駭客、犯罪集團成員、暴力極端主義、國家級駭客組織等。我國為成就長遠發展的願景,運用各期「國家資通安全發展方案」持續部署,第5期將於今年到期,考量各國資安政策、全球資安威脅趨勢、前期經營成效、政府發展所需等要項,未來資安環境良窳,已非政府單方面所能掌控,更有賴全民遵循法律制度、產業深耕營運、培育資安人才、提升資安意識、強化關鍵基礎設施,以及供應鏈協同合作等面向積極投入,始能建構國家安全所需的網路環境。
中共持續發動網路惡意行為
今年8月初,美國反間諜執法辦公室指出,11月3日將舉行美國總統大選,各國駭客集團如中共、俄羅斯與伊朗已開始動作,企圖影響美國選民的偏好及觀點,持續利用公開及秘密手段,達到轉變美國政策、擴大內部不和、破壞人民對民主程序的信心,並伺機尋求危害美國選舉基礎設施的機會,干預投票過程、竊取機密資訊,或讓大眾質疑投票結果。美國務卿蓬佩奧公布「乾淨網路」計畫,總統川普同時要求大陸公司「字節跳動」及「微信」,不能與任何美國個體進行交易,並表示,中共開發及擁有的行動應用程式,持續威脅美國國安、外交政策和經濟,包括自動蒐集用戶資訊,令中共有機會接觸美國公民個資,伺機要脅和滲透,同時審查中共認定政治敏感內容,並持續監控赴美民眾。
9月,印度再次宣布封殺118款大陸手機應用程式和騰訊提供的相關服務,印度訊息技術部表示,這些應用程式「無視印度防衛、主權、領土完整、國家安全及公共秩序」,且此行動將有助「保護印度廣大手機及網路用戶的利益」。美國國土安全部於同月14日指出,中共「國家」安全部指揮網路駭客,利用多項軟體漏洞,攻擊美國政府單位。16日美國司法部宣布,起訴5名隸屬APT41駭客組織的中共駭客,涉嫌對超過100家企業展開網路攻擊,起訴罪名為涉嫌電信詐欺、身分盜竊、未經授權入侵被保護電腦、洗錢等。
我國法務部調查局8月19日表示,近來偵辦多起政府機關遭駭案件發現,中共駭客組織Blacktech與Taidoor,已長期滲透國內政府機關及其資訊服務供應商。9月,調查局長呂文忠及資安工作站副主任劉家榮表示,中油、台塑及科技公司於5月遭勒索軟體加密勒索事件亦為APT41所為,該組織與中共國安單位有密切聯絡,調查局追查到中繼站,以及惡意程式資訊後,轉由美國聯邦調查局接手,由美國司法部起訴駭客。
從上述案例可見中共指揮駭客組織,與軍民融合企業發動網路惡意行為,使「資訊基礎設施破壞」、「資料造假與竊取」、「網路攻擊」等,成為國家、社會、企業、個人等安全領域的威脅。在軟硬體設計、制度規範與人類生活、社交習慣尋找罅隙,讓國家在經濟、軍事、科技、外交等領域尋求發展的過程中,無法忽視資通領域的安全,亦需要更嚴密的資安規範。
我國資通安全發展現況與規劃
為因應國際資安威脅及特定國家網路惡意舉措,蔡英文總統自上任後格外重視資安問題,並成立行政院資通安全處,落實「資安即國安」政策,而第5期「國家資通安全發展方案(106-109年)」也進階為「推動資通安全管理法,完備國家資安聯防體系」,為因應國際安全威脅與各國資安政策的變遷,已結合我國近年政策推展所見問題、「資安產業發展行動計畫(107-114年)」與國家發展需要,完成SWOT分析策訂第6期方案,擬以「打造堅韌安全之智慧國家」為願景,達成「成為亞太資安研訓樞紐」、「建構主動防禦基礎網路」及「公私協力共創網安環境」等3項目標,依此規劃推動「吸納全球高階人才,培植自主創研能量」、「推動公私協同治理,提升關鍵設施韌性」、「善用智慧前瞻科技,主動抵禦潛在威脅」、「提升民間防護能量,維護公眾隱私安全」等4項策略。
挹注資源 培育跨域人才
第1個策略以人才為要項,無論是增加高教資安員額及資源,或挹注資源協助高等資安科研,甚至培育實戰與跨域人才,都需要全民在知識、專業、教育上有所改變,家庭、學校與職場上,培養適切人才,提供學習進修管道,盡早部署規劃,避免環境趨勢斲傷社會優質生產力。
第2個策略聚焦整合,由於我國政府各機關許多工作經審慎評估,已逐漸委商辦理,近年遠距工作也成為許多公司的選擇或評估方案,其關鍵基礎設施需民營單位共同建構。因此,要維護國家資安環境,除加強政府各部門的資安意識與攻防能力,更需協力廠商共同制定防護規範,推動資安聯防機制,除培養人才,更需以情境誘導磨練,確保我國公私協同推動資安防護基準、情資交流與應變演練,強化關鍵設施的安全韌性。
第3個策略核心為主動,網路危機長期為事發後被動處理,無法事前預防,易造成後續處理困難且耗費資金。因此,擬於內部系統、情資交流、防禦技術等層面更加主動積極,讓國家在充分獲得保障的資安環境下發展,也更需要公務人員、企業與民眾,面對新的法律規範、作業規定時,能即時掌握與全力配合。
第4個策略置重點於環境,網路既已成為政府、學校、企業,乃至個人之不可或缺,甚至彼此連結的途徑,因此,提升優勢與能力、共同維護資安,是第6期思考的重點之一。政府為落實資訊作業委外安全,強化企業供應鏈管理,將持續推動可依國際資安趨勢修正的《資通安全管理法》,輔導企業提升資安防護能量,確保智慧聯網產品安全,強化供應鏈風險管理,同時讓5G與物聯網的安全規範、實證場域及產業生態鏈,能建構智慧國家安全環境,增加大眾隱私安全。
結語
資訊領域是捍衛國家安全不可忽視的關鍵,網路環境的安全威脅已不限於特定國家,更涵蓋犯罪集團,甚至是國家結合跨國犯罪集團,在計畫性分工後,形成惡意的公私協力行動,讓關鍵基礎設施資安、資訊供應商的供應鏈安全、資料造假、外洩與竊取、勒索攻擊、物聯網資安弱點等威脅逐步升高。有鑑於此,資通安全處第6期「國家資通安全發展方案(110-113年)」,已於今年8月向各部會確認工作,9月起向產業、政治、學術、研究等單位徵詢意見,預於12月在資安會報提報,相信在廣拓人才培育、整合各方能力、主動防禦作為,營造安全環境的策略引導下,政府各機關(構)及民眾配合,能讓國家在無形中更加成長、茁壯。
(作者為國防大學戰爭學院教官)
