時論廣場》沉默的戰爭 資安就是國安(洪奇昌)

2022/08/06

資通訊設備與服務早已是國人日常生活的一部分,但資訊安全卻也是最常被忽略的國家安全議題。裴洛西訪台後中國大陸實施大規模軍演,激起台灣社會對國防改革的關注;然而在看得見的硝煙之外,網路世界的兩岸攻防早在國人的眼皮下行之多年。如何有效提升國家關鍵基礎設施和資料庫的「數位韌性」是國家安全重大議題。

所謂「關鍵基礎設施」,依據2014年「國家關鍵基礎設施安全防護指導綱要」,其中包含:能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區等。可想而知,通訊傳播相關設施的資訊安全與數位韌性程度,高度攸關社會安危與國家安全。

以醫療院所為例,我國部分醫院最遲在2020年便陸續遭受對岸的駭客入侵。已知的駭客攻擊樣態至少有四種:一、植入木馬程式竊取或刪除資料。二、惡意癱瘓資料庫,造成資料庫無法正常寫入讀取,連帶影響事後資料備份與資料搶救。三、惡意變更自動投藥系統,如修改化療點滴程式,使藥劑以超過醫令數倍的點滴流速打入患者體內,結果恐讓患者治療產生具大改變。四、透過醫院網站為跳板,入侵其他政府機關主機、資料庫。

試想,若我國能源、電信、交通等基礎設施受到駭客攻擊,那麼停電、斷訊、火車對撞等事故,必將造成各種工作中斷、財產減損和人員傷亡,嚴重破壞社會正常運行與民心安定。又或者,如果有心人士透過政府資料庫或社群網路軟體掌握到:民眾的政治態度、金錢流向、移動軌跡,或前述自動投藥系統;輕則收到不勝其擾的垃圾廣告,中則陷入詐騙或假新聞威脅,重則人身安全都暴露在風險之中。

由此可見,在萬物聯網的時代,網路攻擊雖然看不見、聽不著,但卻能以極低的成本,對國人和國家造成嚴重傷害。因此資訊安全是保障個人言論自由、財產安全、隱私權利,乃至於維持國家與社會自主性的重要防火牆。

另方面,由於裴洛西訪台期間便利超商電子看板、台鐵等電子看板被駭事件,以及前述醫院被駭事件可以溯源至中國大陸的駭客組織,我們應認識到,不論相關網路攻擊是否為中國大陸官方所為,台灣社會主要的資安威脅來自對岸,是無法迴避的事實。

因此我們應理解,政府之所以在2020年12月18日頒定「全國各機關使用資通訊產品處理原則」,函令各公務機關資通訊產品(含軟體、硬體及服務)「不得使用大陸廠牌」、「已使用或採購之大陸廠牌資通訊產品列冊管理,且不得與公務環境介接。」實是基於中國大陸對台網路攻擊日甚的事實,而非狹隘的藍綠紅政黨意識形態之爭。

面對資安風險,全面強化關鍵基礎設施數位韌性,除了加強對資安設備、軟體的投入外,防患於未然更是重中之重,這是政府各機關與轄下事業單位、法人的共同責任。

單位主管與採購人員辦理採購案時,都應有更全面的資安與數位韌性思維:第一,擴大數位韌性涵蓋範圍。例如行政院於台鐵電子看板被駭事件後,進一步將禁用、汰換「陸廠」資通訊產品的範圍,從機關與委外廠商,擴大到機關「場域內」,如出租商場、停車場等。

第二,採購案應更謹慎採購「陸製」資通訊產品。目前政府雖已禁止採購「陸廠」產品,但「陸製」產品仍因其價格優勢和商源的不可替代性而未完全禁止。然而各種應用軟體,如:系統軟體、APP及電腦作業系統;又或者手機、電腦、伺服器、監視器、無人機甚至印表機等具連網能力、資料處理或控制功能的硬體,都可能成為有心人士對台進行網路攻擊的跳板。

有鑑於資訊戰是中國大陸對台發動「三戰」(輿論戰、心理戰、法律戰)的重要媒介,公務機關辦理採購案時,在規格上仍應最大程度考量「陸製」產品的資安風險,以期防患於未然。

(作者為海基會前董事長)

沉默的戰爭 資安就是國安 數位經濟夥伴關係協定宣布 中國加入談判正式啟動 《國際產業》國安考量 英國阻止港企收購軟體商