【Yahoo論壇/張善政】從總統府被駭談企業機關的網路自保之道

張善政
·前行政院長
·8 分鐘 (閱讀時間)
Cyber security concept. Encryption.
Cyber security concept. Encryption.

作者為前行政院長

總統府近日發生網路系統被駭導致密件外流事件。總統府重鎮竟然也有資安漏洞,事態的確相當嚴重。其實兩岸的網路戰爭十餘年來每分每秒都在發生,政府單位每年至少被對岸試探或攻擊上億次。網路駭客只要找到一個「山海關」,就有機會入主整個中原。資安防禦要做到滴水不漏真的很難,但至少可以努力做到,即使駭客進得來,也要讓想竊取的資料出不去;另外也可以時常找友善的駭客(白帽駭客)進行入侵演習,讓機構或公司行號知道自己有哪些資安弱點。

我在宏碁時曾帶領團隊投標政府國家資通安全防護管理平台(NSOC)的案子,將國外公司的資安防禦技術移轉來台灣,替政府進行全天候24小時的網路安全監控與應變處理,算是首開政府資安服務的先例。後來進入政府後擔任科技政務委員、科技部長到行政院副院長等職務,一直都身兼政府的資訊長和資安長,算算角色從乙方到甲方,接觸資安領域和處理網路攻防已經超過15年。回顧這段期間,我們政府被對岸攻擊頻率最高的時間是雙十節以及總統就職的520前後,而中國大陸的五一長假和十一長假期間,被攻擊頻率則較低。所以這次總統府在520前夕被駭,其實也不意外。

平心而論,這次總統府資料被駭,不能完全怪民進黨政府防禦無能。因為無論誰主政,政府網路都一樣經常遭受到對岸的攻擊。我把對岸的攻擊又分為「隱性」和「顯性」兩種型態。馬英九政府時期,跟中國大陸比較和睦,對岸一樣對我們的網路上下其手,但多少會顧慮到雙邊關係,為我們保留面子(只有一次置換總統府網頁),這就是「隱性攻擊」;而這一次總統府被駭則是外洩了民進黨內部鬥爭的資料,顯然是不給我們政府面子的攻擊。這種影響政府威信的攻擊,我就叫它「顯性攻擊」。

日前中油系統被入侵,導致加油系統異常,引起民怨,又是另一種「顯性攻擊」。萬一台電輸配電系統、健保系統、交通售票系統被入侵造成服務中斷,都會影響到政府的威信。所以在政府體系以外,還有許多企業提供的服務萬一中斷,都會影響社會正常運作。過去我在政府服務時,曾盤點可能影響民眾服務與政府威信的行業,一共有八大類,涵蓋金融、醫療、電信、交通、水電、能源、科學園區等,就要求他們要把資安做到和政府防禦一樣的等級。

不過,就像一棟房子要做到沒有宵小可以入侵的破口一樣,要期待資安防禦做到滴水不漏,也真的很難;清軍當時入主中原,就是因為破了一個山海關。政府機關上至總統府,下至地方政府,小到鄉公所、區公所,怎麼可能找不到一個防禦無力的「山海關」?一旦入侵一個政府小單位,就可進入政府網路,形同所有政府機關都門戶大開。

駭客有興趣的對象往往是中高階主管的電腦,而不是基層員工,因為越高層的人員電腦裡才越有機密的檔案。但偏偏高層主管或是替他們操作電腦的秘書,很難有時間去接受資安教育訓練。蔡英文總統會去上資安的訓練課程,管好自己的電腦不被入侵嗎?蔡英文、蘇貞昌他們可能連什麼叫釣魚郵件、社交工程都搞不清楚,若自己操作電腦,就很容易上當,成為資安破口;所以雖然駭客對基層員工沒有什麼興趣,但只要能入侵基層的電腦,藉以進入機關內部網路,一樣有機會輾轉入侵高層的電腦中。這就說明了不論層級人人都需要上資安課的重要性,而這也只是自保的第一步。

再來,企業或政府機構一定要購置安裝防毒軟體、防火牆等基本的配備,而且還要有專業人員懂得管理和操作這些配備。更進一步,也要有人24小時監控網路異常狀況,否則就算透過資安配備知道被駭客入侵,但是沒有人可以即時處理,坐視事態擴大,後果也不堪設想。而最糟糕的情境就是這次總統府遭駭,被駭的時候都不知道,等到資料被爆料到外面了,自己才最後一個知道。

這裡舉幾個我曾經看到的案子為例。有一個機關裝了防毒軟體、防火牆,也找了宏碁管理和24小時監看,但還是被駭客入侵了。這個機關認為宏碁應該要負責賠償,雙方因而產生爭議。原因是,這個機關的防火牆是自行管理,但是設定網路放行、過濾的條件太寬鬆,才會導致被駭客入侵。這個例子就說明了,儘管買了該買的軟體、設備,若沒有好好操作或管理能力,一樣可能被駭。使用防毒軟體和防火牆就類似家裡使用保全服務的概念,有了保全就能保證家裡一定不會被偷嗎?若是家中密碼設定成0000、又或是把鑰匙放在容易猜到的地方(門墊底下),結果家裡被偷,可以怪保全嗎?

另外有一個機關,因為沒有傳送資料到海外的業務,因此在防火牆上乾脆設定對海外的連線一律阻擋。但是我們發現防火牆不斷紀錄有內部電腦試圖傳送資料到海外(但被阻擋)的訊息。如果是員工想連線到海外,幾次被阻擋不成功就會放棄,不會鍥而不捨;只有後門木馬才會鍥而不捨。我們深究原因,原來是有員工開啟釣魚郵件而被植入惡意的盜取資料程式,該程式試圖要把機密檔案送到海外,但被防火牆檔下。後來我們清除了惡意的木馬程式,資料也沒有被盜。這就是前面所說,即使不幸被入侵,也要設法讓駭客試圖竊取的資料檔案出不了機關企業的大門。(小偷雖然進了門,但是不可以讓他逃跑)

現在的駭客越來越厲害,知道很多機構會阻擋對大陸的網路連線,因此找了很多海外「中繼站」,如在新加波、日本等不是那麼政治敏感的地區,盜取該國某些電腦的控制權,作為存放盜取資料的暫存處,再由中繼站送到對岸。甚至,也會尋找我們國內疏於防範的企業電腦,作為竊取政府資料的中繼站。換句話說,只要國內有疏於防範的機關企業,就會變成入侵企業或政府網路的山海關,讓整體資安的防禦強度,是取決於「最弱的一環」,這使資安防禦變得極為吃力。

最後,總結一下網路時代企業機關的資安自保之道:

1. 具備一定的資安防禦軟硬體和專業管理能力。如果沒有能力,就要找可靠的外包廠商。同樣的,如果是高度依賴網路的企業機關,應該有24小時全天候的網路安全監控,一旦有資安事故要能即時因應。

2. 所有員工要經常接受資訊安全觀念的教育訓練,尤其越高層的主管,越需要撥出時間上課。「釣魚郵件」、「社交工程」應該要變成人人都瞭解的主題。

3. 就像每年定期有「萬安演習」一樣,資安也需要透過積極的攻防演練,培養面對資安攻擊的因應能力。以這次總統府被駭來說,即時因應與處理能力實在有待加強!(不是去報案就沒事了)

資安防禦是整體的。一個許多分支點的機關或企業,只要有一個點被入侵,整個機關就會暴險。中央與地方政府一共有上千個機關、一個企業可能有上千的分支點(加油站、便利商店),處處都必須顧好資安。我們正在步入數位工具提供的方便無所不在的時代,當然就必須處處謹慎。只想享受數位好處,不想付出數位投資的心血,是不行的!期待總統府經過這次被駭的教訓,有決心把政府的整體資安水準好好提升,讓民眾對政府恢復信心。

更多Yahoo論壇文章
有了超超前部署的蔡總統團隊,台灣勢必再榮耀四年
看不下去羅志祥七千字長文
一個日漸被孤立的美國
520就職演說:小英的兩岸善意 北京能理解嗎?
未答完兩岸卷子的蔡英文反過來出題目

相關新聞影音

______________

【Yahoo論壇】係網友、專家的意見交流平台,文章僅反映作者意見,不代表Yahoo奇摩立場 >>> 投稿去