施威全專欄／8月軍演的教訓： 資安重點在管理，不是抖音

施威全／倫敦大學伯貝克法律學校博士

陸委會公開表示抖音不得在台經營業務，輿論批評說政府禁抖音，這是誤解。抖音是陸資，能不能來台經營業務、設立公司、招募員工，事涉市場准入，受陸資來台相關法令的規範，與台灣民眾手機能不能用抖音無關。實務上抖音難禁，台灣人拿手機上抖音，無法可禁。

針對抖音議題，12日行政院秘書長李孟諺表示，「中國大陸影音平台對台灣有很多攻擊、批評及不實訊息，要求行政院所屬相關部會的公部門禁止使用這些平台…」李孟諺沒弄清楚，就算禁止手機裝抖音App，也禁不了透過手機網頁瀏覽器看抖音，政府要「禁止使用這些平台」，是否連Firefox 、Chrome、Edge、Safari、Opera、UC也都要禁？

李孟諺以言論內容為審查平台的理由，那得先自我檢討民進黨政府的嘴巴。疫情為例，初發時針對口罩政府大力宣傳「我OK你先戴」，對比後來口罩得隨時隨處戴著、火車與高鐵上禁食的規定，當初的我OK未必OK，是政府應付缺口罩的遁詞。疫苗缺口時，政府列舉至少5項理由反對民間洽購BNT，後來民間採購BNT成功，此一事實，包括進來台灣的BNT包裝上仍印有簡體字及上海復興醫藥的中文名字，證明政府的理由是騙人的藉口。2020年武漢加班機運回台商與家人，當時衛福部宣稱「中方拒絕『防疫、弱勢優先』的要求」，控訴陸方打壓台灣、放毒入台，後來陸方公布所有細節，反而凸顯台灣各單位說法混亂、錯誤連連。

真以言論不實為理由而禁止平台，政府網站都應關閉，社群平台都該禁，因為皆是政府網軍出沒處。

若說公部門資安為重，首要禁抖音，那也是迷思。行政院下令所屬機關公務手機禁用抖音，放屁安狗心，敷衍問題的形式主義作法。拿公務手機的只是少數，大部份公務員處理公務用私人手機，無法禁也無法源可禁。資安首要重點不在於平台、軟體或硬體，在使用行為，聚焦抖音反而失焦。

以2020年總統蔡英文就職典禮前的總統府洩密案為例，當時媒體都收到「總統府外流機密檔案」，裡面有圍攻賴清德的資料。事情案發第一時間，總統府說遭駭客入侵；事後經過一年半的調查，臺北地檢調取內外網防火牆、伺服器紀錄等資料後，查無入侵來源而簽結。當時國安局、調查局都有情資指出，外洩文件的內容或許來自時任職國安會副秘書長辦公室的政治幕僚，該員掉了手機，其私人手機上有許多工作上的敏感訊息。荒謬的是該幕僚掉了手機，還在臉書上自暴。以此嫌疑案例而言，問題的關鍵在人，不在抖音或小紅書。

立委羅美玲質詢時指出，禁止公部門使用抖音，只有行政院及其所屬部會適用此規定，其他四大院仍可使用抖音，相當於一國多制，資安做半套。她的意思是放屁安狗心一次不足以維護資安？要多放四次才是全套資安？

鼓吹民間反制抖音，更只是轉移重點，把一切歸罪中共而已，忽略了抖音以外多數平台都可怕。網路世界凡走過就留下痕跡，私部門方面，企業以各式手法蒐集個資是常態，例如在大賣場買隱私用品的軌跡，不只該賣場電腦儲存，信用卡銀行與電子發票系統都有，訊息也分享到社群網站等。該擔心的不是抖音，而是整個體系，儘管消費者申請會員卡、網路購物時，賣場都透過警示提醒消費者的個資與行為會被蒐集、使用，但實務上消費者很難拒絕，政府的監管有限。公部門方面，以美、英政府為例，資通訊相關的個人監控無遠弗屆。為何暗網（Dark Web）會成為特定交易的門路，例如有媒體受理吹哨人舉發便是透過暗網，因為網路世界沒絕對的資安，不管是抖音還是臉書都一樣，所以特定活動愈走愈地下化。

硬體、軟體當然是資安管列項目，但藉著掀起恐中牌，建構台灣社會的集體綠色防火牆，搞錯重點。台灣常順著美國打恐中牌，但忽略了美國的資通設備禁令、晶片禁令，關鍵之一還是美國政治人物與其支持者的商業利益。

以8月共軍軍演時駭客對台灣的網路攻擊為例，某些案例可以看出當時台灣門戶洞開，與是否為大陸製，大陸平台無關。當時便利商店、公用事業等的播放牆、播放系統被攻，國安系統整理相關資訊發現，是成本問題，沒有花錢在基本防護，或者公播系統商無心於資安，這才是重點。有些系統出廠時預設的密碼，使用者或承包者接手後連改都沒改，亦即後門沒鎖上。這問題，在WWW網頁出現前，透過DOS撥接上網連到各大學的UNIX的時代，就常看到。柏克萊天文物理學家斯多（Clifford Stoll）在1989年出版了〈捍衛網路〉（The cuckoo’s egg : tracking a spy through the maze of computer espionage），記錄他追尋駭客的故事，書裡有些資安例子就是使用者沒鎖後門。

斯多當年描繪有美國政府機關與大學「安全漏洞大到連卡車都可以通過」，30多年後，台灣仍見同樣的毛病，這不是牽拖抖音就可以解決。

菱傳媒原始網址：施威全專欄／8月軍演的教訓： 資安重點在管理，不是抖音