(芋傳媒記者林雙牧報導)「資安即國安!」在生活周遭均是資訊、網路的今日,資安影響所有人的日常,遭受中國軍事、外交威脅的台灣,在資安方面也飽受中國猛烈攻擊,堪稱全球遭受網路威脅最嚴重的國家。行政院為此規劃成立「數位發展部」,主導國家資通安全政策,下轄資通安全署、國家資通安全研究院,相關法案已經立法院三讀通過。台灣與美國等民主理念相近國家在近年來一直強化資安合作,在美國建議下,台灣也在國家資通安全研究院下設立資安卓越中心(CCoE)。然而,本刊獨家掌握,國安團隊發現政府有內部人員蓄意洩密,與在野黨立委合作,極力窺伺機密性不下於國防、外交機密的資安計畫,意圖曝光台灣與國際的資安合作。有關單位已為此成立專案小組,全力清查相關可疑人士。
台灣在經歷 2018 年九合一大選的假訊息洗禮後,台灣人民才意識到假訊息攻擊嚴重影響台灣社會。在瑞典歌德堡大學(University of Gothenburg)研究機構「V-Dem Institute」(Varieties of Democracy)的研究中,2018 年與 2019 年,台灣皆是位居遭受假訊息攻擊的全球首位。
由於日常生活中,手機社群網路的訊息俯拾皆是假訊息,台灣人對於假訊息多少有點警覺意識,諸多的團體機構也投入防制假訊息的研究,但台灣人生活周邊,還有更多的資安問題,目前台灣人並未意識到這些危險。
美國關切台灣資安的建構
早在立法院審查數位發展部的相關法案之前,台灣已在美國的強烈建議下,準備籌設資安卓越中心(CCoE)。台灣官方籌設已久的資安卓越中心,最後設立在台南沙崙資安暨智慧科技大樓;蔡英文總統也於 2021 年 12 月 24 日前往沙崙智慧綠能科學城,主持資安暨智慧科技研發大樓啟用典禮。此外,副總統賴清德在 2021 年 10 月 27 日為「HITCON Pacific 2021」致詞時,就首度提及,行政院規劃成立資安卓越中心,將從資安前瞻研究、頂尖實戰人才養成、實習場域建置等面向來推動,以厚植台灣頂尖實戰人才培訓及資安前瞻研究能量。
國安人士強調,台美近年來在國防、外交等機敏領域的合作愈來愈密切,台灣雖然是 IT 製造大國,擁有堅強的製造實力,同時也有素質可觀的資訊人才,然而台灣在資安方面的不穩定性,也引發美國等理念相近國家的高度關注;資安的不穩定,不只最機敏的國防、航太科技,乃至攸關民生、社會穩定運作的關鍵基礎建設,都暴露在中國的網攻風險之下。
例如台灣的中油、台塑在 2020 年 5 月先後遭受惡意程式攻擊,感染勒索病毒;在台灣調查局與美國司法部門的聯手查緝之下,不但循線破獲幕後組織 Winnti Group,更起訴 5 名中國駭客。根據美方調查,該組織利用中國四川「成都 404」網路安全科技公司當作合法掩護,實際上進行各種網路惡意攻擊行為,非法入侵他人主機、竊取機敏資料及進行電信詐欺。
即便是外界認為無涉國安的民間公司,也是網路攻擊的對象。包括 2018 年時,1111 人力銀行傳出 2 萬筆求職個資外洩、台北市衛生局的市民個資在暗網可購買到;2019 年至今,陸續出現包括銓敘部、內政部戶政司、台灣國際航電、宏碁、廣達、蕃薯藤、網軟科技、秀泰影城、品田牧場、墨攻、元大證券、聯發科、中國信託等,遭受各式的網攻、個資外洩等事件。實際上,台灣人的個資是非常珍貴的國安資訊,中國意圖透過掌握台灣人個資,透過大數據的分析技術,以便統戰需求或將來「統一」台灣的運用。也正是因此,具有中資背景的中國火鍋品牌「海底撈」連鎖店,被踢爆每桌都裝設兩部監視器,並且將影像資料回傳中國後,引發台灣人的高度警戒。
趨勢科技旗下工控安全公司 TXOne 資安威脅研究員鄭仲倫在 2021 年 7 月發布首份「台灣八大關鍵基礎設施網路曝險報告」,對市值前百大企業、共30萬筆外洩個資進行分析。發現科學園區與工業區就佔 21 萬筆;通訊傳播業每 4 名員工就有 1 人個資外洩;外洩管道包括:系統、程式弱點、資料竊取、釣魚郵件、內部員工竊取等等。
相關人士指出,台灣內部資安落實程度仍有加強的空間。例如,最近國安相關單位清查資安狀況發現,依照規定,各級政府、國營事業、政府相關法人等單位遭遇資安攻擊等問題,必須呈報給行政院國家資通安全會報技術服務中心,但卻出現有單位未呈報的狀況。在民間資安方面,國安單位發現民間對資安問題處理並不積極,私人企業遇到資安事件時,建議應呈報台灣電腦網路危機處理暨協調中心。這些落實程度未臻完善的狀況造成台灣整體的資安漏洞,此問題讓國安單位感到十分憂心。
中國以商業掩護政治 資安問題不容忽視
相關人士分析,表面上看來,目前的資安事件貌似勒索詐財,商業目的重於國安;但其實暗藏「商業掩護政治」,背後有中國國安單位指使的影子。就以入侵中油、台塑的 Winnti Group 而言,美方提供的資訊就顯示,疑與中國國安單位有密切關聯。
更令人憂心的是,資安事件不只來自境外網攻,國會助理無從稽查、出入份子複雜的立法院,更可能淪為資安最大破口。2020 年 6 月偵破的陳惟仁、林雍達、李易諴等國會助理涉共諜案,其犯行就包括試圖雇用駭客入侵健保資料庫,竊取總統蔡英文等人的病例。國安人士示警,這就是中國採取的「線上加實體」複合式攻擊,而且隱身於立法院,以立委監督政府施政之保護傘,更能突破國家的資安防線。
為強化台灣的資安,蔡英文總統在 2021 年 5 月出席台灣資安大會時,提出「資安即國安 2.0」戰略,宣示不只是國安單位,而是全體政府機關都應積極推動資安計畫,強化整體防護能量。行政院則以國家資通安全為前提,規劃成立「數位發展部」,主導國家資通安全政策,下轄資通安全署、國家資通安全研究院;而在美國高度期待下所設立的資安卓越中心,未來將移撥到國家資通安全研究院。
資安破口竟在台灣內部
相關人士透露,就是在這時候,感受到政府內部有些文官採取消極以對的態度;「原本只是想說,可能是部分公務文化的惰性,多一事不如少一事,但後來發現,事情要嚴重得多!」甚至有文官擺明要阻擋,蓄意拖延政府的資安防護計畫,並且在自己業務能掌握到的範圍內,將消息洩露給特定的幾位在野黨立委。
更可疑的是,之前曾與政府合作主持相關資安研究計畫的台灣大學、陽明交通大學、中山大學、台灣科技大學、清華大學、中興大學、成功大學等校教授,也紛紛在 2021 年下旬起,陸續收到立委辦公室的公文,要求提供具體、詳細的資安計畫內容。
相關人士痛批「根本是胡鬧!」他強調,資安計畫是台灣重要國際合作機敏行動之一,重要性不下於國防、外交機密;然而,國會辦公室要求主持資安計畫的學者提供資安計畫內容,倘若再有類似國會助理遭到中國滲透吸收的狀況發生,機敏資料再外洩,「最大的受益者會是誰?當然是中國!」相關人士透露,有關單位已為此成立專案小組,全力清查。
有關人士也表明,目前正全力偵察一件資安計畫外洩事件,此外洩事件導致計畫相關核心人員遭到中國駭客入侵電子郵件信箱意圖竊取計畫內容,此案牽涉到國防部、國安系統成員以及相關的政府重要法人機構。經過調查,有關人士發現這是一件內神通外鬼的洩密事件,洩密者疑似遭到中國滲透吸收。國安相關人士感嘆,台灣與民主理念相近國家密切合作發展資安防範中國的網路攻擊,「沒想到資安破口竟然在政府內部」,顯見,中國的滲透無所不在。
評論被關閉。