癱瘓中油就能癱瘓台灣

3大數位防疫「落後部署」

文●管婺媛

五月四日,中油公司因電腦系統遭駭,暫停大部分加油站使用捷利卡、中油PAY交易。同一天,中央疫情指揮中心宣布,新增一例境外移入確診案。


▲醫院是防疫的重要前線,流程須嚴謹;面對數位病毒防護也須拉高。去年8月,台大醫院(圖)就曾有駭客入侵欲竊取重要官員個資。本刊資料

實體病毒還沒消失,數位病毒同時來襲。後者的殺傷力,甚至不亞於肺炎流行。一旦政府部門、關鍵基礎設施、民間企業遭「感染」,影響幅度同樣可高達百萬、千萬人。而且,它正以每個月平均三千萬次的頻率,攻擊著台灣。

「這幾年攻擊的趨勢有改變,(駭客)不是以量多取勝,而是以精準攻擊、高成功率取勝,」行政院資通安全處處長簡宏偉說明,「舉例而言,三十次攻擊有十次成功替換網頁,和三十次攻擊有一次成功、但影響核心系統(功能),相較之下,後者是更嚴重的。」

那麼,台灣是否有足夠抵禦數位病毒的防疫國力?

相較於領先全球的公共衛生防疫體系,面對數位病毒,我們其實有三大資安危機的破口待補。
系統破口》防護罩不夠綿密 駭客攻「外圍」單位,照樣癱瘓國家

首先,是數位病毒的中央指揮系統架構還不完整。

二○一九年元月上路的《資通安全管理法》,將中央至地方政府、關鍵基礎設施,都明確納入資安防護罩範圍中。這個指揮系統是由行政院副院長兼任最高位階的資安長,意即「資安陳時中」。

政府防護罩看似涵蓋夠廣,但在專家眼中,只是層「薄膜」。

中央大學資工系教授林盈達分析,國家級的資安指揮體系,像是同心圓,越靠近中央部門者,資安能力與素養就越高,例如行政院乃至各部會;但距離圓心越遠的單位,防禦力就越弱。

例如關鍵基礎設施如中油等公營事業,「資安能力最弱的就是他們!」他指出,公營事業不像科技公司等民間企業擔憂遭駭會造成龐大財務損失,對資安維護沒有強烈動機,「所以駭客從這些『外圍』進攻,照樣可以癱瘓國家、政府運作。」

他認為,目前政府資安體系的支架必須「釘」得更扎實,包括公營單位、政府轄下財團法人把資安外包給民間廠商的規範等,都要更明確。以防疫概念作比喻,當一位國外返台者踏進國門後,上至移民署、疾管局,下至地方警察、里長伯,都知道各自要負責哪些事,例如有人做疫調、有人專司居家隔離追蹤、里長伯送物資並定期關懷被隔離者等,彼此串接緊密,才能防堵疫情傳散的風險。

這個提醒並非空穴來風。

經濟部資安小組組長林淑媛坦言,資安母法是高階的規範,「但不會把如何達到目標的細節,訂得這麼細⋯⋯。」例如,各機構依法須訂定資安計畫,但未被強制上報給主管機關。像中油公司的資安計畫施行情形,就未主動提交給經濟部,少了一步監督。
維運破口》人力缺口達700位 資安單位要管的機構量,是人員數倍

當然,主管部會不能只被動接受報告,也該主動稽核下屬單位。但,這就涉及第二個資安國力的「破口」:部會資安專業人力不足。

目前的關鍵基礎設施,包括能源、水資源、通訊、交通、金融、醫院、高科技園區等領域,分屬不同主管機關如經濟部、交通部、金管會等,但各部會資安單位要管的下屬機構數量,卻是其資安人員的數倍。目前,依資安法所需的人力缺口,多達七百位。

以經濟部資訊中心來說,編制僅二十人,但經濟部轄下的財團法人就近四十個,同時還有大大小小公營事業要管,在有限人力與資源下,經濟部去年也僅能稽核三個公務單位的資安執行狀況。

個人破口》資安警覺性不足 資訊防疫三不,像洗手簡單卻有效

其三,是資安意識沒有被「內化」。

台灣這次防疫成果備受國際肯定,醫界、公衛界都認為二○○三年的SARS慘痛經驗,使防疫DNA植入台灣社會。相較之下,我們卻對同樣可能重創安全與經濟的資安危機,疏忽大意。

例如,就在今年四月,疾管署忙著防疫之際,爆出六十八筆公務電子郵件帳密外洩。失守主因,竟是有人拿公務帳號註冊外部網站服務,使駭客藉入侵外部網站而竊取公務帳密。雖然疾管署強調不影響防疫工作,但已顯見,就像個人公衛習慣是整個社會防疫關鍵,「個人資安習慣」也是數位世界的防疫之鑰。

「在整個資安防護體系中,最重要也是最關鍵的部分,就是組織中每個人對資安的警覺性,」簡宏偉口中的「警覺性」,其實就是不打開不明的電子郵件、不安裝不明的軟體、不使用不安全的產品或服務,就像勤洗手,「都是老生常談,但仍然是最有效的防護手段!」

防疫即國力,數位病毒防疫力,又何嘗不是?

閱讀完整內容
商業周刊第1696期

本文摘錄自‎

癱瘓中油就能癱瘓台灣

商業周刊

2020/第1696期