吳怡農:很多機密資訊早已洩漏,只是未公 - 公職

Wallis avatar
By Wallis
at 2020-06-05T15:47

Table of Contents

※ [本文轉錄自 Gossiping 看板 #1UsV7oVU ]

作者: Macmini2 (迷你2) 看板: Gossiping
標題: [新聞] 很多機密資訊早已洩漏,只是未公開!
時間: Fri Jun 5 15:19:12 2020

https://www.cw.com.tw/article/article.action?id=5100498

總統府為何被駭?專訪吳怡農:各部會資安,竟是查貪腐的人兼管

Web Only?

文?

林佳誼

?2020-06-01



一封「魯蛇」的駭客郵件,讓蔡英文立刻將資安列為台灣6大核心戰略產業之一,這能補
破網嗎?曾任職國安會的吳怡農接受《天下》專訪,再拋出打造「小內網」概念。



「如果不談或不面對問題,不承認有問題,我們不可能改善,」一身慣穿的輕便粉紅襯衫
與球鞋,與前民進黨立委參選人、現在是國防安全議題倡議組織「壯闊台灣聯盟」發起人
吳怡農臉上的嚴肅神情,形成強烈反差。
會這麼嚴肅,是因為一封署名為tsailoser(蔡魯蛇)的郵件,在520前夕攻破了總統府,
戳破總統蔡英文口中喊了4年的「資安即國安」政策。讓資安成了國家機密安全維護中最
脆弱的一環。

很多機密資訊已遭洩漏,只是未公開

事發後,吳怡農第一時間在臉書發出長文,成為綠營第一隻黑烏鴉。曾任職國安會的他,
直指政府資訊網「極為脆弱」,「很多對國家至關重要、更機密的資訊已遭洩漏,只是尚
未公開。」
身為備受栽培的政治明星,吳怡農為什麼要當綠營的黑烏鴉?過去在國安會任職期間,他
究竟看到了什麼?
他接受《天下》專訪,說明他跳出來的原因:

「政府機構體系這麼大,但是它的架構並沒有反應現在世界的運作方式,」吳怡農說,「
很多原因導致今天的問題,而要改善、克服這麼多困難的第一個前提,就是起碼大家要同
意有問題。」

事實上,蔡英文早在首任總統任期之初,制定國家資安政策方針時,就曾經高舉「資安即
國安」政策。過去4年,政府也確實推出多項令人眼花撩亂的資安「新政」,包含第一個
行政院資安專責機構「資通安全處」、第一部資安專法三讀通過、第一任國家資安長(現
由行政院副院長陳其邁兼任)等等,聲勢不可謂不浩大。
但曾經在總統府國安會任職,吳怡農卻看見許多漏洞。

漏洞1》缺統合,各部會自架內網

吳怡農發現,政府徒設眾多資安單位,卻缺乏整合,人事架構完全無法應對現實世界的國
防資安威脅,還形成「政風管資安」的荒謬設計。
他攤開政府的體系,從主管GSN(政府網際服務網)骨幹的國發會,負責資安政策制定、
工作執行與產業發展的行政院資安處,負責情報蒐集的國安局,到最近成立的調查局資安
工作站、針對網路犯罪成立的內政部偵九大隊,看似織起細密網絡。
但實際上,疊床架屋的設計,卻留下國安大漏洞。這是因為,國發會只管GSN骨幹,卻管
不了各部會如何在骨幹上自行架構內網;資安處含轄下技服中心,人力僅約1、200人,難
以掌握部會如何落實資安。國安局、調查局、刑事警察局,平常只能在各機關內部活動,
只能在出事時介入調查。
那麼,「平常是誰在每天保護系統的安全?感覺是各機關的資訊人員,但其實在政府體系
裡負責機關安全維護的理論上卻是政風,」吳怡農指出,根據現行的政府組織章程,機關
安全維護責任歸屬仍是廉政署的政風人員,政院機關內部沒有其他單位負責這一塊。
坐在政府機關內部的政風人員,名義上負責「機密維護」,有權在內部監督,實際上卻無
資安專才,主要工作都在肅貪。實際上各機關平時多由資訊科處編列少部分人員來勉強維
繫最低限度資安,真正出事了,只能由機關外的檢調國安單位來亡羊補牢。

漏洞2》缺人力,外包出事就「大事化小」

如果檢調國安體系真能及時掌握狀況,或許還不是最糟。但真相是,連這一點也有困難。
由於各機關單位裡頭真正專責資安的人員比例少之又少,依法規定政府資安人力需求估計
約為1千多人,實際上仍有約500人缺口待補。人力不足下,仰賴外包已成為公開秘密。每
次出事,外包廠商只對部會報告,而部會心態則是大事化小、小事化無,不想動輒上報至
國安層級,經常指示廠商盡速解決,讓系統恢復正常就好。
結果就是,久而久之,國安系統長期狀況外,缺乏系統性的完整資訊,難以掌握全局。
「大家只是從各自部會思考防堵,可是別人是對你整個政府在攻擊,」吳怡農說,「許多
原本看似孤立的資安事件,如果進一步整合起來,其實可以看到很多不斷發生的模式與途
徑,告訴我們這是一個系統性、策略性、針對性的攻擊,那麼我們的防範措施就會不一樣
,不會把單一事件當作只是某台電腦中毒這麼簡單。」


砍掉重練!從全新、乾淨的小內網做起

資安「新政」眾多擘劃,或許本是立意良善,但見樹不見林,在先天不良的基礎上又疊床
架屋。多頭馬車下,政府國防資安工作反而被層層打散、外包、瑣碎化,缺乏全局思維且
反應遲緩,面對不斷變換策略尋找系統弱點的境外攻擊,就像一隻笨重的大象被螞蟻扳倒
。怎麼解?
立委選後選擇不進入體制內,吳怡農拋出兩大概念,其一,是政府有必要破釜沉舟重新打
造資訊系統,首先從「小內網」做起。其二,是在這個新的資訊網絡之外,還要搭配有效
落實的安全權限管理機制。
「我們的解決方案必須是可執行的,現實是政府不可能成立一個5千人的資安部,但我們
可以有一個集中化的資訊系統,來做有效的管理,」吳怡農說。
他認為,現在GSN由國發會主管,但骨幹上各部會機關內網並不統一,彼此又缺乏安全的
橫向溝通管道,資安破口多不勝數。長時間下來,整個政府體系資訊網絡中早不知暗藏多
少的入侵程式、後門與病毒。「現在有誰在我們的網路裡面,我們是不知道的,」想徹底
解決問題,必須重新打造一個系統。
「這是大工程,怎麼辦?」吳怡農指出,美國國防部就有一個內網,由國防部架設,但通
用在所有可以接觸國家機密的部會機關。台灣也可以從最核心的系統開始,先打造一個全
新、乾淨的小內網,優先將涉及國家安全的機密,統一在這個小內網中保護處理。
無論內網隸屬哪個部會,重點是必須有一個專責單位來規劃設計與負責。所有牽涉到國安
機密的通訊與數據,都必須留在這個內網,「想像不管是在國防部、外交部、國安局,還
是總統府,都有這樣一台電腦連接內網,包含你的Word、簡報、Excel分析,你寫的備忘
錄,都只能在這個內網上產製與轉發。」

關鍵在使用權限,不是官愈大就可接觸愈多機密

不過,「內網只是硬體,背後還要有一個制度,」吳怡農強調,內網的另一環,是使用者
的許可權問題。許可權就是,決定誰可以接觸國家機密?誰保護資訊,資訊存放在哪裡?
誰可以存取這個資訊?「這背後必須有個機制是賦予安全權限,而且必須各部門一體適用
,不然各機關各行其是,就沒有用了,」他強調。

在國安會時,他負責的專案之一就是安全權限檢討。結果赫然發現,台灣公部門人員的安
全查核表格,不僅查核內容薄弱,落實程度也極為低落。「台灣現在,老實說是0,」他
坦言。

每個民主國家都有人員權限管理制度,什麼位階、什麼職權,可以接觸什麼機密,都有一
套原則來管理,不是單純官愈大就可以接觸愈多機密,反而導致「愈機密的資料,管理卻
可能愈不嚴謹」的現象。
回到總統府遇駭,吳怡農強調,「這件事真正嚴重的地方是,這告訴我們,如果這個(府
內文件)都拿得到,說明現在資訊系統的管理方式是有問題的,」除了事件調查,更重要
的是要有通盤檢討整體國防資安政策的決心。
過去在媒體採訪中曾說過最喜歡粉紅色的鮮豔,吳怡農此番大膽直言,不是想做綠營黑烏
鴉,而是能夠喚起人們注意的「粉紅色」烏鴉。(責任編輯:王儷華)


--
Tags: 公職

All Comments

Harry avatar
By Harry
at 2020-06-05T20:24
太長 END
Ethan avatar
By Ethan
at 2020-06-10T14:19
? 我想說標題好潮
Rae avatar
By Rae
at 2020-06-10T22:02
五樓包莖處男
Ophelia avatar
By Ophelia
at 2020-06-11T06:51
格式有符合板規嗎
Dorothy avatar
By Dorothy
at 2020-06-14T22:16
找台積電來 可以就台灣資安嗎?
Victoria avatar
By Victoria
at 2020-06-15T12:01
現在是民進黨執政 國安 資安還洩漏 唐鳳幹假的?
Necoo avatar
By Necoo
at 2020-06-15T18:01
講真話 推
Jessica avatar
By Jessica
at 2020-06-16T03:28
還是民進黨在做共產黨的小弟
Doris avatar
By Doris
at 2020-06-16T11:03
改革很簡單 就是有太多黨國餘孽需要剷除啦
Sarah avatar
By Sarah
at 2020-06-19T05:57
又再黨國餘孽 都輪幾次了
Joseph avatar
By Joseph
at 2020-06-23T18:51
農夫農婦又要變多了?
Olive avatar
By Olive
at 2020-06-28T17:31
不是阿 所以你要罷免的吳斯懷提的問質疑 你是沒看到喔
Leila avatar
By Leila
at 2020-06-30T21:40
民進黨第一天執政嗎?
Jake avatar
By Jake
at 2020-07-05T17:44
他不偷國防資料 只偷民進黨開會資料 還發給記者 你怪到國
Yedda avatar
By Yedda
at 2020-07-08T17:44
白癡
Xanthe avatar
By Xanthe
at 2020-07-11T08:18
防 怎麼就是不敢承認是總統府內部自己人發的?
Enid avatar
By Enid
at 2020-07-15T12:26
要不要先說說你們民進黨年初怎被入侵的
Noah avatar
By Noah
at 2020-07-20T08:51
寫那麼多 內文卻跟文組認識的一樣
Una avatar
By Una
at 2020-07-21T04:48
都執政多久現在才想到資安嗎?
Olive avatar
By Olive
at 2020-07-21T14:53
明明是你們派系內鬥
Cara avatar
By Cara
at 2020-07-25T12:16
文組的吳怡農難怪說起來跟文組認知的方式一樣
Blanche avatar
By Blanche
at 2020-07-25T17:23
賀明你說說看?
Sierra Rose avatar
By Sierra Rose
at 2020-07-30T12:26
政風管資安 真的是笑死了... 根本是文組管資安的意思吧
Olive avatar
By Olive
at 2020-07-31T15:11
今天任何一個綠共黨首長名字改成柯文哲,馬上砲轟一個
Kama avatar
By Kama
at 2020-08-03T04:21
月,看看桃園就知道差別待遇在哪
Zanna avatar
By Zanna
at 2020-08-08T03:20
Edwina avatar
By Edwina
at 2020-08-09T19:10
大家要支持不簡單的處長,鹽烤火候足,資安一定讚
Blanche avatar
By Blanche
at 2020-08-14T09:10
覺得蠻有道理的,但是做不起來,在預算人力限制下,只能做
到各機關自建內網吧
Yedda avatar
By Yedda
at 2020-08-14T15:13
紙本公文路過有人拍照的話都可以上網啊你要怎麼辦
Valerie avatar
By Valerie
at 2020-08-16T01:39
這樣看起來資訊化並沒有任何好處,那就恢復全部紙本作業
Charlotte avatar
By Charlotte
at 2020-08-19T12:59
講得沒錯呀 沒什麼好酸的吧
Charlotte avatar
By Charlotte
at 2020-08-22T01:10
講的是沒錯啊,省錢省員額,下場就是累死公務員。
Lauren avatar
By Lauren
at 2020-08-25T21:19
講誰不會講,講的好像貴黨第一天執政
Hedy avatar
By Hedy
at 2020-08-28T02:47
只會講空話!還好台北市民素質高
Oscar avatar
By Oscar
at 2020-08-28T21:06
廉政署管資安真是個笑話
Charlotte avatar
By Charlotte
at 2020-08-28T23:40
講了一大篇空話,是出來為選舉熱身嗎?
Ida avatar
By Ida
at 2020-08-30T10:48
笑死,政府機關整天成立 line 群組,不加還不行,還跟我
講資安,北七沒藥醫
Connor avatar
By Connor
at 2020-09-01T00:05
推樓上
Jacob avatar
By Jacob
at 2020-09-02T03:47
推C大
Megan avatar
By Megan
at 2020-09-04T18:32
我做資安這麼久,還真不認同他說的。
Caroline avatar
By Caroline
at 2020-09-06T20:43
在他之前也一堆講一樣話的 真的選上還不是毫無改變
Connor avatar
By Connor
at 2020-09-07T14:25
完全執政 完全they的錯
Leila avatar
By Leila
at 2020-09-09T08:45
專訪這傢伙?還在博版面喔
Kelly avatar
By Kelly
at 2020-09-10T06:12
一個是原有公文密等電子化,一個是電子化後的資訊安全,
這是哪一個?
Faithe avatar
By Faithe
at 2020-09-13T22:22
政客內鬥 都是they(常任文官)的錯
Quintina avatar
By Quintina
at 2020-09-14T20:34
前面講的還不錯,雖然是老生常談,但看到後面說的,
果然又在打高空

高雄的那個嘉年華活動

Gary avatar
By Gary
at 2020-06-05T09:27
高雄的那個嘉年華活動 看起來怎麼都不像10萬或100萬以內 可以辦的起來的 萬一首長真的下台 會不會承辦要面對政風 審計 看起來實務來講還蠻抖的 那個會是拆10萬做網站 90幾萬做活動嗎?感覺印券應該錢就不夠了 真擔心這案的承辦 - ...

新北市某區里長涉嫌偽造土地同意書

Zora avatar
By Zora
at 2020-06-04T17:46
1.里長出具不正確的土地同意書=請參閱刑法 使公務人員登載不實罪 里長真的要硬起來,他沒有好處的 2.工程不小心做到人家的地 一般來說~側溝協助排水,對地主也是有好處,往這方面協調 看看地主同不同意,如果真的講不過 就上簽請求敲除側溝 恢復原狀 因為去打行政訴訟,一般 ...

非育嬰留職停薪問題

Gary avatar
By Gary
at 2020-06-04T00:18
我今年想請進修留停,已獲首長同意! 想請問如果我學校1月開學,可以12月就開始留停嗎?因為是要出國讀書,所以想要提早 過去找房子處理一些瑣事! 請問留停時間如果懷孕是不是不能申請生育補助? 那還能請產假、育嬰假嗎?還是需要先復職? 請問公保要繼續繳嗎? - ...

新北市某區里長涉嫌偽造土地同意書

Olive avatar
By Olive
at 2020-06-04T00:11
新北市某區里長在108年時拿土地同意書讓公所新設側溝,結果最近有人陳情案外案才發現 原來土同(6人中1人已經中風10幾年),由於里長無法取得土同,明示暗示他是否將侵佔私人 土地部分打除,結果里長說土同是民眾簽的跟他無關!!! 里長說但是公所108年新設的側溝(108年未完成,原本109年要續做,結果被我發現 ...

請問有前輩辦過戶外籃球場工程嗎?

Oliver avatar
By Oliver
at 2020-06-03T23:56
請教問題請適當模糊細節,例如人事時地物 已經有多位板友發文後被自己同事主管認出 公務員圈子很小,不想黑掉或背處分請慎重 另若您為公務人員,建議勿於上班時間發文 ----------以上提醒可刪除-------------- 最近要辦理戶外籃球場整修工程,在籃球板的選用上設計公司和地區籃球協會有不同意見 ,想 ...