[新聞] 曾任職國安會吳怡農：很多機密已遭洩露只是尚未公開

看板Gossiping作者KKmex (麥克斯)時間5年前 (2020/05/17 10:13)推噓3(9推 6噓 18→)

留言33則, 22人參與討論串1/1

https://udn.com/news/story/6656/4569592?from=udn_ch2_menu_v2_main_index 曾任職國安會吳怡農：很多機密已遭洩露只是尚未公開 2020-05-17 09:32 聯合報 / 記者丘采薇／台北即時報導總統府官員電腦遭駭客入侵，駭客散發多起資料震撼政壇。曾經任職國安會、代表民進黨參選立委的吳怡農在臉書貼文表示，政府網路系統安全，作為國家關鍵基礎設施的一環，是他在國安會研究的問題之一，他當時參與跨部門會議、調閱歷年紀錄、也訪問第一線政府人員及業者。他坦言，有很多對國家至關重要、更機密的資訊，沒有妥善保護、已遭洩漏，只是尚未公開。吳怡農提到，總統府內電腦或系統遭駭。目前外界有種種假設，也許是資訊混淆和政治操作；或許涉及內部人員、或許是境外干預；無論如何，在調查尚未明朗前，他不在此時作任何揣測。吳怡農說，此事件目前看來波及程度限於政治與形象上的傷害。但如果確實涉及總統府電腦或系統的侵駭，對中央政府機關最深切的警惕，是這個行為路徑不但可被執行，而且透過駭客刻意公開，政府才得知、而不得不公開回應。吳怡農根據自己在國安會任職的經驗指出，總統或行政院長若下令檢視2016年至今所有涉及政府系統的資安事件，就會發現一個清楚的脈絡，「從最高機構總統府到三級單位如氣象局，政府的資訊網絡極為脆弱，並長期遭受境外勢力大規模、系統性的侵入，包括全民健保資料庫、公文系統等等，近期更透過委外廠商取得系統權限。這些重要的資訊都是全民資產，也是政府的責任。」吳怡農說，過去四年，當政府不斷地倡導「資安即國安」，這些攻擊未被有效阻絕，幾乎所有核心政府單位的資訊系統都曾被成功滲透；加上各機關之間都有連線，已造成的損害難以估量；然而每每發生資安事件，受害的單位往往各自尋求委外廠商個別處理，將電腦或伺服器「清理乾淨」，就結案了事；此類事件也大多在國安單位還未參與調查前，就被歸類為「非國安事件」、「非涉及核心業務」處理，並未進一步檢視系統性的威脅，甚至提出防患於未然的措施。吳怡農表示，馬政府時期的國安會，曾經試圖面對這個問題，檢討政府資訊系統的安全設計和管理。但接連開了幾次會議之後，反倒變成「向外」檢討，例如：嚴管民間（金融、水電、交通等領域業者）的資通訊安全。過去幾年，蔡政府也延續此政策方向：行政院推動「資安管理法」，國安會研擬「國家資通安全戰略報告」，但始終沒有把重點放在政府「內部」的問題。也就是說，存放國家最機敏資料的機制，沒有被當成核心問題來面對。吳怡農說，所以，政務官不信任政府系統，高層的機敏訊息很多盡量不透過官方系統，甚至用個人電腦，導致現在，每個人的個人裝置（手機、筆記型電腦）都可能是破口；而且遭駭時，因為不受專責人員管控，根本難以查覺。吳怡農也提出三個問題供政府參考，第一，政府內部沒有專責單位及人員負責系統安全：公務體系沒有相關的「職系」來培養專業人力；若系統出事，主要由委外的民間廠商協助「清毒」善後，或必要時行政院技術服務中心協助，但無論如何盡可能避免國安人員的涉入；各機關由非專業的副首長兼任資安官，缺乏專業背景，也難以形成專業而客觀的文官體系。第二，吳怡農認為，政府未對使用者建立安全規範並實施安全教育：長期以來，長官只要層級夠高，便可以使用個人電腦工作及存放公務資料，形成「愈機敏的資料、管理卻可能愈不嚴謹」的奇怪現象；我們常提到的使用者「人員安全權限制度」也從未落實。第三，吳怡農指出，政府機關之間沒有「跨部會內網」：機關各行其事，又缺乏安全的橫向溝通管道；在「內網」撰寫的資料，卻需要透過「外網」來傳遞給其他部會；彼此通訊仰賴 Line、Telegram 或 Signal，徒增資料外流的風險（而且無法追蹤、事後分析或利用）。危機就是轉機，這次事件是勇敢面對、徹底檢討、改善政府資安、落實「資安即國安」的機會。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.164.175.63 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1589681607.A.6D3.html

→

onedaymor

05/17 10:14, 5年前 , 1^F

05/17 10:14, 1^F

推

kianwei

05/17 10:14, 5年前 , 2^F

05/17 10:14, 2^F

→

sd09090

05/17 10:14, 5年前 , 3^F

05/17 10:14, 3^F