資安如國安，我們準備好了嗎（彭睿仁）

520就職前夕，總統府電腦遭駭客入侵，資安已成國安問題。示意圖，資料照片

　　日前總統府遭駭客入侵，府內重要會談文件遭變造外流，報載國安單位研判此次攻擊是「認知作戰」，意圖在真實資訊中混入虛假內容，以達混淆視聽、影響民意取向的目的。此類由中國網軍或駭客組織發動，並以敵對國家政府或企業網站、資訊系統及資料庫為對象之駭客攻擊，在國外也層出不窮，據外媒指出，2015年4月美國聯邦人事管理局系統遭駭客竊取超過2200萬筆聯邦雇員之社會安全號碼、住址及指紋等個資；此外，還包括德、英、法、瑞士等11國之政府機關及電信、金融與生技等產業，遭中國僱用之駭客組織「APT10」入侵並竊取機密。

　　從國際受害經驗發現，多年來中國駭客組織主要以歐美和日本等國之國防、軍事、商業及高科技機密為入侵目標，藉以維護中國國安與提升軍事實力。但中國駭客對台除竊取高科技產業機密，及癱瘓政府網站系統運作外，近年來逐漸利用網路平台及社群媒體的特性，以資訊戰的策略配合民粹手法，從台灣內部製造具有「詐騙或欺騙型」及「帶風向類型」假訊息之政治輿論，瓦解民眾可能的反中情緒。

問題在資安意識不足

　　本次總統府遭駭，內部文件經變造添加帶有類似政治鬥爭的虛假內容後，續以真假難辨的「帶風向類型」爆料訊息流出，刻意讓廣電及社群媒體受誤導後大幅報導並流傳，即便新聞媒體查證後澄清或未加報導，但網絡平台流傳後在各類封閉式群組中發酵為同溫層效應，反而形成另一波「陰謀論」式的政治「認知」，帶動民粹「親╱友中」意識形態風向，以社會分歧影響台灣政局。

　　中國透過網路對台持續攻擊，除了是中國隱匿武漢肺炎疫情並在世界衛生組織打壓我國造成的反中情緒，及罷韓投票在疫情減緩後通過機率大增等原因外，也與我國防疫成果受國際矚目，並獲歐美等13國提案參與世界衛生大會有關。而總統就職前，媒體民調對政府高滿意度的呈現，也代表中國大外宣在台的挫敗。因此中國當局拉高資訊戰攻擊層次，亟欲透過風向式假訊息再次煽動民粹、製造台灣政治鬥爭的假象。

　　駭客攻擊事件涉及國內政治、外交、經濟及軍事安全，儼然已成國安層級考量的焦點。中國資訊攻擊方式將更趨多樣化、細緻化及無形化，在多元開放的台灣，社會大眾甚難察覺輿論風向真假，而日後中國駭客組織進行的資訊戰攻擊，必將搭配社群媒體假帳號以不同面貌持續進行，關鍵點也不僅是520總統就職及606罷韓投票，預估應會持續在2022年九合一選舉及2024年總統、立委大選前達到高峰，範圍也將不限於政治及軍事目的，藉由對經濟安全及市場秩序的癱瘓，無異也將延燒到執政黨的滿意度及選舉結果。

　　我國《資通安全管理法》就公務機關資通安全管理有詳細規範，在第10條即要求，公務機關應依所屬資安責任等級，就其處理之資訊種類、數量，及資通系統之規模與性質等條件，修訂並實施資安維護計畫，而且對違法者訂有罰則。然而，各公務機關雖多訂有相關資安規範，但就如同WannaCry勒索病毒或勒索蠕蟲大規模散播造成的損害，任何尖端防毒軟體也無法確保能即時發現、警告並阻擋病毒對系統的破壞，所以許多駭客攻擊得逞的原因也不在於防護技術強弱，而在於人員資安意識不足，便宜行事，以致資訊作業規範流於形式，方才讓駭客有機可趁。

　　因此資安考量不應放在技術先進與否，而在於機關人員依其層級應有資安訓練及管制規範的落實。除行政機關內部人員的社交工程演練及資安教育更應常態化、專業化及戰略化外，對政府高級幕僚人員登入資訊系統或存取資料庫之權限管控等基本措施外，甚至政府人員會議、聯繫與資料傳輸所用之視訊或通訊軟體，也應選擇由國內廠商研發並經國安層級要求檢測後之產品。

　　此外，政府部門或所屬法人機構應制定「旋轉門條款」，依任職者階層或職務性質差別，在其離職、轉職或退休時，於一定期間內，禁止轉任中資背景企業職務，或改赴中國、港澳地區任職，以免我國重大政策情資外洩。

中國對我已啟資訊戰

　　中國對我資訊戰端已啟，當資安已成國安，不僅是技術問題，更應是戰略思維或反恐演練，故政府應比照防疫作戰之超前部署，從法制層面整合中央部會戰略資源，主動出擊，而非被動因應。以日本為例，為確保東京奧運能順利進行，總務省在法律授權下，委託「情報通信研究機構」主動測試日本國內超過2億個IP位置之防護狀態，並以曾遭攻擊之預設密碼嘗試登入，若發現漏洞，即提醒高風險用戶加強防護。日本作法雖有爭議，但將東奧資安防護提升至反恐等級，無疑也是提前檢驗國內受境外資訊戰攻擊的漏洞，以預防代替補救，可作為我國借鏡。

　　在資訊網路無遠弗屆的年代，防火牆永遠無法滴水不露，但隨時嚴密防護，總勝過亡羊補牢，面對境外駭客的虎視眈眈，我們準備好了嗎？

資策會科技法律研究所研究員、東吳大學政治學系兼任助理教授