數位身分證喊卡,2.8億元全民買單!為何做不下去?專家實測資安問題所在

數位身分證(New eID)原預計在2020年10月推出,卻因新冠肺炎疫情延後,且加上資安風險、隱私保護疑慮未解,計畫被迫喊停。相關廠商向政府求償5.26億元,若加上已採購機器和場地費及維持運轉的空調費用5.24億元,最後調解金額約2.8億元。

事實上,一張小小的晶片數位身分證,還沒推出時就掀起逾2,000位的中研院學者、大學教授及資安從業人員連署反對換發。為什麼?以下為《數位時代》2021年6月採訪報導:

過去政府單位曾形容,數位身分證就像一把開啟政府各項線上服務的「萬能鑰匙」,推動台灣朝向數位國家、智慧政府發展。參與內政部進行數位身分證測試任務的台科大資安中心主任查士朝表示,原本政府只是單純想發一張有自然人憑證的身份證,但後來將T-Road(政府機關資料交換與介接機制)納入,又想整合駕照、健保卡等一卡多用功能,「政府野心太大了,一但這把萬能鑰匙出問題,後面衍生的問題就會很多。」

雖然內政部長徐國勇曾說,「卡片的晶片是台積電做的」,請大家安心,但民眾黨立委高虹安指出,數位身分證會產生的資安問題,不是只有晶片本身,背後還牽涉到後端的資料庫、讀取系統,以及傳送民眾個資的過程及保存,都需考量資安風險。

台科大資安中心主任查士朝 圖/陳映璇攝影
台科大資安中心主任查士朝 圖/陳映璇攝影

 

資安面防駭能力不足、應用面不夠便利,數位身分證的2大困難

回顧身分證發展史,現在人手一張的第六代身分證為2006年換發,但防偽造保固早在2016年已過期,2017年政府著手規畫換發第七代身分證——數位身分證,並從紙本接軌到國際潮流的晶片身分證。

晶片身分證的防駭能力,首先受到專家挑戰。查士朝表示,數位身分證的晶片技術行之多年,要被攻破不是容易的事,但晶片有NFC(近距離無線通訊技術)功能,無線讀取確實有風險。

在內政府規畫的數位身分證,晶片內個人資料分成4區保護,分別是戶籍地區、公開區、加密區、自然人憑證區,前兩區開放插卡及感應讀取,後兩區僅能插卡讀取。

數位身分證 圖/內政部
數位身分證 圖/內政部

 

在「公開區」存有姓名、統一編號、出生日期、戶籍地址等資料,透過輸入卡號或機讀碼即可讀取個資,且無連錯3次鎖卡的保護機制,「當駭客只要用超強功率的無線電,透過暴力破解,就可以知道你家裡住哪裡、叫什麼名字,這是蠻高的資安風險。 」查士朝經重重測試,才發現此漏洞,不過要一般人要破解沒這麼容易,光是取得設備可能就需要數百萬元以上。

數位身分證空白卡 圖/陳映璇攝影
數位身分證空白卡 圖/陳映璇攝影

 

在國外,即便是全球數位身分證典範國愛沙尼亞,2007年曾受到俄羅斯駭客的大規模攻擊,導致當時政府、銀行及許多網站停擺;德國也不例外,2018年被資安業者發現,數位身分證的線上驗證程序有漏洞,駭客可以假冒他人身分存取網路服務。

延伸閱讀:【圖解】數位身分證停擺百日總檢討!拉近數位國家的距離,台灣還差什麼?

第二個問題在應用與系統設計的摩擦。

查士朝提到,由於銀行需KYC驗證(Know Your Customer,認識你的客戶),需要出生地資料,若是代繳父母保費,還要身份證配偶資料,但這些資料都存在晶片內「加密區」,必須插卡讀取,無法感應讀取。這意味過去翻開身分證就可驗證的資料,但變成數位身分證後,只能臨櫃插卡讀取,「若不用手機,哪叫什麼先進的技術?」查士朝說。

不只如此,加上開發程式需要時間,甚至是無法使用手機感應讀取,都對金融業產生頗大的衝擊,無法達到公私部門合作的效果。

解方:先建立資安風險框架與信任基礎

未來若還要繼續推動數位身分證,KPMG安侯數位智能風險顧問公司董事總經理謝昀澤建議,導入歐盟的資料隱私衝擊分析(Data Protection Impact Assessment,DPIA),在做數位推動時,應先設計資安加隱私保護的架構,再去設計系統、實測並上線,而不是先開規格,才加入加密、防火牆等設計,先具有邏輯性資安風險分析的方法與架構,才能在該框架下做資安評估討論,否則資安的問題永遠討論不完。

高虹安 圖/高虹安Facebook
高虹安 圖/高虹安Facebook

 

高虹安則認為,數位身分證引發的資安風暴,最大的問題在於社會對這件事缺乏了解與信任,以及政府官員對資安的了解不足。目前無論公、私部門,在資安的人才培養及資源都是供不應求的狀態,「光公部門的資安人力缺口就高達1.000多位。」高虹安說,資訊安全應被政府視為基礎的數位建設,而不是case by case來做。

數位身分證就像一個天秤,一方面訴求便利性,另一面有資料外洩的隱憂,政府如何扮演好服務提供者令民眾放心,以及展現公私合力協作,都是接下來值得思考的方向。

延伸閱讀:數位身分證帶來數位足跡監控,中研院專家:慎防國家級資訊戰

責任編輯:吳元熙、林美欣

更多報導
【圖解】數位身分證停擺百日總檢討!拉近數位國家的距離,台灣還差什麼?
數位身分證確定暫緩上路!蘇貞昌:將先擬定完整專法後再實施

看更多相關新聞
數位身分證讓全民賠2.8億元!工程會:不會檢討「原推動者」賴清德
數位身分證喊卡遭求償調解後約2.8億元 林右昌:已經是最好結果
納稅人買單 數位身分證喊卡廠商求償
數位身份證喊卡 陳建仁:個資保護委員會成立後再研議
評論/未達全民共識就砸錢 數位身分證帳算誰的