3大數位防疫「落後部署」

文●管婺媛

五月四日，中油公司因電腦系統遭駭，暫停大部分加油站使用捷利卡、中油PAY交易。同一天，中央疫情指揮中心宣布，新增一例境外移入確診案。 實體病毒還沒消失，數位病毒同時來襲。後者的殺傷力，甚至不亞於肺炎流行。一旦政府部門、關鍵基礎設施、民間企業遭「感染」，影響幅度同樣可高達百萬、千萬人。而且，它正以每個月平均三千萬次的頻率，攻擊著台灣。

「這幾年攻擊的趨勢有改變，（駭客）不是以量多取勝，而是以精準攻擊、高成功率取勝，」行政院資通安全處處長簡宏偉說明，「舉例而言，三十次攻擊有十次成功替換網頁，和三十次攻擊有一次成功、但影響核心系統（功能），相較之下，後者是更嚴重的。」

那麼，台灣是否有足夠抵禦數位病毒的防疫國力？

相較於領先全球的公共衛生防疫體系，面對數位病毒，我們其實有三大資安危機的破口待補。 系統破口》防護罩不夠綿密 駭客攻「外圍」單位，照樣癱瘓國家

首先，是數位病毒的中央指揮系統架構還不完整。

二○一九年元月上路的《資通安全管理法》，將中央至地方政府、關鍵基礎設施，都明確納入資安防護罩範圍中。這個指揮系統是由行政院副院長兼任最高位階的資安長，意即「資安陳時中」。

政府防護罩看似涵蓋夠廣，但在專家眼中，只是層「薄膜」。

中央大學資工系教授林盈達分析，國家級的資安指揮體系，像是同心圓，越靠近中央部門者，資安能力與素養就越高，例如行政院乃至各部會；但距離圓心越遠的單位，防禦力就越弱。

例如關鍵基礎設施如中油等公營事業，「資安能力最弱的就是他們！」他指出，公營事業不像科技公司等民間企業擔憂遭駭會造成龐大財務損失，對資安維護沒有強烈動機，「所以駭客從這些『外圍』進攻，照樣可以癱瘓國家、政府運作。」

他認為，目前政府資安體系的支架必須「釘」得更扎實，包括公營單位、政府轄下財團法人把資安外包給民間廠商的規範等，都要更明確。以防疫概念作比喻，當一位國外返台者踏進國門後，上至移民署、疾管局，下至地方警察、里長伯，都知道各自要負責哪些事，例如有人做疫調、有人專司居家隔離追蹤、里長伯送物資並定期關懷被隔離者等，彼此串接緊密，才能防堵疫情傳散的風險。

這個提醒並非空穴來風。

經濟部資安小組組長林淑媛坦言，資安母法是高階的規範，「但不會把如何達到目標的細節，訂得這麼細⋯⋯。」例如，各機構依法須訂定資安計畫，但未被強制上報給主管機關。像中油公司的資安計畫施行情形，就未主動提交給經濟部，少了一步監督。 維運破口》人力缺口達700位 資安單位要管的機構量，是人員數倍

當然，主管部會不能只被動接受報告，也該主動稽核下屬單位。但，這就涉及第二個資安國力的「破口」：部會資安專業人力不足。

目前的關鍵基礎設施，包括能源、水資源、通訊、交通、金融、醫院、高科技園區等領域，分屬不同主管機關如經濟部、交通部、金管會等，但各部會資安單位要管的下屬機構數量，卻是其資安人員的數倍。目前，依資安法所需的人力缺口，多達七百位。

以經濟部資訊中心來說，編制僅二十人，但經濟部轄下的財團法人就近四十個，同時還有大大小小公營事業要管，在有限人力與資源下，經濟部去年也僅能稽核三個公務單位的資安執行狀況。

個人破口》資安警覺性不足 資訊防疫三不，像洗手簡單卻有效

其三，是資安意識沒有被「內化」。

台灣這次防疫成果備受國際肯定，醫界、公衛界都認為二○○三年的SARS慘痛經驗，使防疫DNA植入台灣社會。相較之下，我們卻對同樣可能重創安全與經濟的資安危機，疏忽大意。

例如，就在今年四月，疾管署忙著防疫之際，爆出六十八筆公務電子郵件帳密外洩。失守主因，竟是有人拿公務帳號註冊外部網站服務，使駭客藉入侵外部網站而竊取公務帳密。雖然疾管署強調不影響防疫工作，但已顯見，就像個人公衛習慣是整個社會防疫關鍵，「個人資安習慣」也是數位世界的防疫之鑰。

「在整個資安防護體系中，最重要也是最關鍵的部分，就是組織中每個人對資安的警覺性，」簡宏偉口中的「警覺性」，其實就是不打開不明的電子郵件、不安裝不明的軟體、不使用不安全的產品或服務，就像勤洗手，「都是老生常談，但仍然是最有效的防護手段！」

防疫即國力，數位病毒防疫力，又何嘗不是？

閱讀完整內容