沉默的戰爭 資安就是國安

(圖/行政院提供)

資通訊設備與服務早已是國人日常生活的一部分,但資訊安全卻也是最常被忽略的國家安全議題。裴洛西訪臺後中國大陸實施大規模軍演,激起臺灣社會對國防改革的關注,然而在看得見的硝煙之外,網路世界的兩岸攻防早在國人的眼皮下行之多年。如何有效提升國家關鍵基礎設施和資料庫的「數位韌性」是國家安全重大議題。

所謂「關鍵基礎設施」,依據2014年《國家關鍵基礎設施安全防護指導綱要》,至少包含:能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區等。可想而知,相關設施的資訊安全與數位韌性程度,高度攸關國人安危與國家安全。

以醫療院所爲例,我國部分醫院最遲在2020年便陸續遭受對岸的駭客入侵,樣態至少有四種:一、植入木馬程式竊取或刪除資料。二、惡意癱瘓資料庫,造成資料庫無法正常寫入讀取,連帶影響事後資料備份與資料搶救。三、惡意變更自動投藥系統,如修改化療點滴程式,使藥劑以超過醫令數倍,結果恐讓患者致死。四、透過醫院爲跳板,入侵其他府機關主機、資料庫。

試想,若我國能源、電信、交通等基礎設施受到駭客攻擊,那麼停電、斷訊、火車對撞等事故,必將嚴重破壞社會正常運行與民心安定。又或者,如果有心人士透過政府資料庫或社羣網路軟體掌握到民衆的政治態度、金錢流向、移動軌跡,或前述自動投藥系統,輕則收到不勝其擾的垃圾廣告,中則陷入詐騙或假新聞威脅,重則人身安全都曝露在風險之中。

由此可見,在萬物聯網的時代,網路攻擊雖然看不見、聽不着,但卻能以極低的成本對國人和國家造成嚴重傷害。因此資訊安全是保障個人言論自由、財產安全、隱私權利,乃至於維持國家與社會自主性的重要防火牆。

另方面,由於裴洛西訪臺期間便利超商電子看板、臺鐵等電子看板被駭事件,及前述醫院被駭事件可溯源至中國大陸的駭客組織,我們應認識到,不論相關網路攻擊是否爲中國大陸官方所爲,臺灣社會主要的資安威脅來自對岸,是無法迴避的事實。

因此我們應理解,政府之所以在2020年12月18日頒定《全國各機關使用資通訊產品處理原則》,函令各公務機關資通訊產品「不得使用大陸廠牌」、「已使用或採購之大陸廠牌資通訊產品列冊管理,且不得與公務環境介接。」實是基於中國大陸對臺網路攻擊日甚的事實,而非狹隘的藍綠紅政黨意識型態之爭。

面對資安風險,全面強化關鍵基礎設施數位韌性,除了加強對資安設備、軟體的投入外,防患於未然更是重中之重,這是政府各機關與轄下事業單位、法人的共同責任。單位主管與採購人員辦理採購案時都應有更全面的資安與數位韌性思維:第一,擴大數位韌性涵蓋範圍。例如行政院進一步將禁用、汰換「陸廠」資通訊產品的範圍,從機關與委外廠商,擴大到機關「場域內」,如出租商場、停車場等。

第二,採購案應更謹慎採購「陸制」資通訊產品。目前政府雖已禁止採購「陸廠」產品,但「陸制」產品仍因其價格優勢和商源的不可替代性而未完全禁止。然而各種應用軟體,或手機、電腦、伺服器、監視器、無人機甚至印表機等,都可能成爲有心人士對臺進行網路攻擊的跳板。

有鑑於資訊戰是中國大陸對臺發動「三戰」(輿論戰、心理戰、法律戰)的重要媒介,公務機關辦理採購案時,在規格上仍應最大程度考量「陸制」產品的資安風險,以期防患於未然。(作者爲海基會前董事長)