Yahoo奇摩新聞 重磅專訪》台灣受駭客攻擊頻率冠全球 MIT資安大師就問一句:政府有專業資安長嗎?
各國政府因應層出不窮的網路攻擊事件,紛紛設立資安長(CISO),擬定目標與戰略,提升國家資安韌性。台灣受網攻頻率居全球之冠,美國麻省理工學院(MIT)資安大師迪瓦達斯(Srini Devadas)接受《風傳媒》專訪時質疑,「網路戰爭已開打,台灣政府有專業資安長嗎?」
美國麻省理工學院與時代基金會7月31日在台北舉行「生成式AI塑造未來」論壇,由MIT多位專家針對生成式AI帶來的機會與挑戰提供專業的觀點與探討。迪瓦達斯會後接受《風傳媒》專訪時,針對微軟作業系統大當機、印尼國家資料中心遭駭、台灣防範駭客入侵的準備、AI製造假新聞帶來的衝擊等,做了深入剖析。
15歲立志讀博士 迪瓦達斯出身印度書香世家
迪瓦達斯出生於印度書香世家,曾祖父是個哲學家,100多年前到英國牛津大學留學,取得博士學位,他的家族許多長輩親戚都是博士、碩士;而迪瓦達斯15歲左右,就很清楚自己未來要讀博士。他在21歲到美國攻讀碩士、博士,1988年在MIT任教電機工程和電腦科學迄今。
迪瓦達斯從小喜歡數學,他在研究過程中,對數學、密碼學產生極大興趣,這些與數據資料加密息息相關。他提到,自己花數十年時間,才發現應用密碼學的美好。慶幸的是,他的女兒目前正在MIT攻讀密碼學博士,讓他感到非常驕傲。
迪瓦達斯早在1999年首次來台訪問,熟悉台灣高科技產業生態系,在台灣有許多老朋友。新冠疫情結束後,首次來台訪問,他的行程滿檔,除了參加生成式AI論壇,還拜訪台灣的高科技公司。
迪瓦達斯質疑台灣沒CISO 鄭麗君兼任資安沙皇
近年台灣遭遇駭客網攻頻率越來越高,據資安公司Check Point統計,台灣企業遭網路攻擊頻率為全球之冠。迪瓦達斯質疑,「網路戰爭(cyber war)已開打,台灣政府有專業的資安長(CISO)嗎?」
因應網路攻擊戰,國家必須有能夠防禦、應戰的資安將軍。迪瓦達斯表示,「美國政府正視網攻問題的嚴重性,早就設置專業資安長,這位資安長是網路戰爭中研擬各項戰略的將軍。這位資安將軍的角色與數位發展部長是不同的。」
因應網攻事件頻仍,行政院院會7月初通過《資訊安全管理法》修正案,要求公務機關、特定非公務機關(新竹科學園區、台電等),應設資安長,全案須送立法院審議。然而,目前台灣的資安長(CISO)由行政院副院長鄭麗君兼任,鄭麗君為巴黎第十大學政治經濟社會哲學碩士,曾任文化部長與立委。令人質疑的是,政府為何把這麼重要的資安沙皇職務交給一位非資安專業人士來統籌?
「網路戰爭早已開打!」網攻可直接瘓關鍵基礎設施
網路戰爭早已開打,迪瓦達斯指出,最令人擔憂的網路攻擊會引發實體世界關鍵基礎設施嚴重損害,例如,駭客可以控制交通紅綠燈、電力公司,造成交通、電力癱瘓。最恐怖的新型態戰爭利用軟體病毒Stuxnet(震網)攻擊關鍵基礎設施,伊朗核反應設施曾經遭Stuxnet攻擊,造成嚴重破壞,駭客操控核反應爐離心機加速又減速,導致整個建築體發生劇烈震動,後果非常可怕。
駭客攻擊關鍵基礎設施,也可能對電動車發動攻擊。迪瓦達斯表示,駭客只要幾個指令就可以讓電動車加速急駛,這是非常瘋狂的。「從政府的角度來看,資安長負責整個國家資安政策、戰略與執行,這人是網路戰場上的將軍,這個職務非常重要。」
微軟全球大當機 恐事前品管測試沒到位釀禍
微軟Windows作業系統7月下旬出現全球大當機,全球逾850萬個電腦裝置受衝擊,造成嚴重損害。這個全球大當機事件,突顯什麼問題?迪瓦達斯指出,軟體下載或上傳的程序必須事先做好測試,此次事件暴露一個更高層次問題,即在全面更新軟體之前,微軟與資安公司CrowdStrike的品管測試沒到位,於是某個檔案無害的小缺陷造成了大危機。
另一個問題是,資安軟體公司CrowdStrike有管理者特權,可以刪除某些帳號,也可以癱瘓某些系統。不幸地是,這次碰到無害的小缺陷,CrowdStrike防毒軟體導致電腦螢幕變成藍色當機畫面。
迪瓦達斯認為,「微軟與所有信賴的開發者必須改善程序,做軟體更新之前必須經過所有測試。這次大當機是品管(QA)的失敗。這次軟體更新造成全球大災難,顯示微軟與CrowdStrike沒有做好品管,結果搞砸了。」
從這次全球大當機事件,航空公司、醫院系統可以學到什麼教訓?迪瓦達斯表示,「經歷這次事件,大家開始注意作業系統的異質性,除了微軟Windows之外,還有Linux,對於航空公司或醫院系統而言,不要只使用一種作業系統,但這也牽涉到成本的問題。其次,必須有其他備用伺服器,當主要伺服器當機時,備用伺服器可以派上用場。問題是,這些航空公司和醫院都有備用伺服器,但是全都是Windows作業系統。」
印尼國家資料中心遭駭 突顯數據備份重要性
印尼國家資料中心6月底遭到駭客入侵,癱瘓政府行政機關多個部門的運作,駭客集團要求800萬美元贖金,印尼政府拒絕支付。迪瓦達斯分析,這是典型勒索病毒,有人不小心讓這個病毒入侵政府電腦系統,這可能是釣魚郵件攻擊,駭客集團把所有檔案加密,只有駭客集團擁有金鑰可以解開。
迪瓦達斯表示,這次勒索事件顯示政府數據資料備份的重要性,這是數位基礎設施議題,這些官方網站一旦被勒索,即完全癱瘓。如果政府資料過去是每日備份,最好提升為每小時備份,如此一來,即使發生駭客勒索事件,頂多損失1小時的資料。所以,這個事件其實是可以修補的。
從印尼國家資料中心遭駭來看,迪瓦達斯分析,印尼政府要負較大責任,首先是資安教育不足,其次,政府對重要數據資料一定要做好備份,即使遭駭,也能夠很快復原。
另外,選舉中,生成式AI被用於製造大量假訊息,企圖混淆視聽,有什麼策略可以降低混亂?迪瓦達斯坦言,這的確是個挑戰,人們會相信他們想要相信的內容。他建議運用科技來提升信息來源的可信度,例如新聞照片註明攝影機的GPS地理位置和時間戳記錄;另一方面,提升新聞媒體與記者的聲譽,以有效對抗假訊息。
生成式AI類比瑞士刀 「年輕人要學會使用工具箱」
因應生成式AI時代來臨,什麼是年輕人必須學習的重要技能?迪瓦達斯指出,「生成式AI是一個令人興奮的科技,未來有很多發展潛力,但是現階段,許多運用生成式AI的企業尚未獲利,目前應冷靜看待生成式AI。」
對於年輕人而言,迪瓦達斯建議,「學習你們必須學習的事物,但不要忽略生成式AI帶來的機會,生成式AI可以幫助你提升效率,更有創意。保持開放的心,學習最新的科技。」
「生成式AI就是你的工具箱。」迪瓦達斯舉例說,「現階段,生成式AI尚未到達要取代人類的程度,你必須學習如何使用它。生成式AI好比瑞士刀,這是一個工具箱,有很多用途,你要知道如何使用它。」
ChatGPT融入教學 虛擬助教幫個別學生解惑
ChatGPT上市以來,在全球造成轟動,在教學上可以發揮那些功能?迪瓦達斯說,他計畫設計一個虛擬助教(Virtual TA),在課堂上可以針對個別學生的問題,給與個別的指導。由於班上的同學多達300位,如果有虛擬助教,可以及時協助解答個別同學的問題,如此可以提升教學品質,同時真正幫助同學們解決問題。
在個人使用ChatGPT方面,迪瓦達斯分享一個經驗,他經常撰寫長篇文稿,可能長達數十頁,他要求ChatGPT把文章精簡摘要成一頁,只要1秒鐘就完成了。所以,ChatGPT可以成為許多人生活中的好幫手。
密碼總是記不起來?二階段驗法很關鍵
迪瓦達斯為密碼學專家,日常生活中,從銀行帳戶、電郵信箱與社群平台等,許多人對於要牢記各式密碼感到困擾,有什麼簡單的秘訣可以管理自己的密碼?迪瓦達斯指出,最重要的是二階段驗證法,首先,你登入帳號之後,該機構會傳送一次性密碼到你的手機,由你本人輸入,以確認這是你本人。
其次,設計一個很長的密碼,對你有特殊意義,你可以記住,作為你的密碼管理員主控密碼,可以存入iPhone,不必每次都重新輸入,但是你要記住密碼管理員的主控密碼。
迪瓦達斯表示,如果台灣每個人都做好二階段驗證與密碼管理員的管理,那麼台灣可以大幅降低包括微軟當機、印尼國家資料中心遭駭等資安事件帶來的損害。
更多風傳媒報導
