如果台灣發生如韓國一樣的駭客攻擊事件,是否有抵擋能力?多位網路資安專家表示,台灣的網路根本毫無資訊安全可言,問題在於政府放任不管、業者只會買證書卻未落實稽核的心態,一旦發生駭客攻擊,台灣上自國家機密、下至市井小民隱私,將毫無安全可言。
多位負責網路資訊安全的專家對此回應:「很難、幾乎不可能,因為台灣的資安稽核根本沒落實。」
台灣網站分級推廣基金會執行長胡貽圓表示,韓國從九○年代初期就開始發展「電子化政府」,還曾在二○一○、一二年兩度獲得聯合國電子化政府評比第一名,「別的不說,當台灣把『網咖』當成特種行業強力掃蕩時,韓國卻是大力扶植網咖,這個國家對網路資訊安全投注的心力,與台灣相比,是兩種截然不同的格局。」
「如果韓國擋不住駭客,那麼,台灣更不可能。相同的網路攻擊事件發生在台灣,確實讓人懷疑台灣資安的招架能力。」胡貽圓擔心地說。
漏洞一:政府缺乏明確罰則
例如○三年時,某官股行庫因一位實習生騙取了主管的網路金鑰,將兩筆共三.二億元新台幣的資金存入虛擬帳戶中,然後再轉入自己帳戶;○九年一月,內政部移民署大當機,花了三天才修復,而這中間卻有被列管的五人因為電腦當機而順利出境。
資安漏洞不止於此!○八年至○九年跨年夜時,某電信業者系統當機,經調查,發現竟是電信業者合作廠商的離職工程師,利用公司不知道的帳號與密碼入侵電信業者的主機,約有超過百萬名用戶受影響。
查證後,該電信公司對工程師提出告訴,但這家電信公司卻沒因為未盡善良管理人責任而被政府罰款。「如果相同的事件發生在美國,該電信業者會因資訊安全管理不當而被罰兩千萬美元以上。」一位在某國立大學負責教授網路資安的老師強調。
漏洞二:認證機構良莠不齊
事實上,在經濟部標準局檢驗局底下、負責管理驗證公司的財團法人全國認證基金會只核可七家驗證公司能發放ISO 27001的證書,而這七家公司目前僅發出三百多張,令人憂心的是:「企業稱自己通過ISO 27001認證、手上還有證書的,遠遠超過這數目。」一家在台灣僅輔導企業通過ISO認證、不發證書的顧問公司表示。
且這三百多張中,僅有不到十張是企業的每個部門都通過此標準認證,「剩下的多是企業的資訊部門通過驗證,所以駭客能從其他部門入侵。」
這位老師指出,「在實務上,只要公司付三十萬元新台幣,找家驗證公司輔導,備齊文件,往往就能通過ISO 27001的認證。」但企業內部每一項資安細節是否真有符合ISO 27001的標準,恐怕未受到嚴謹檢核。
對於國內資安驗證的鬆散亂象,行政院國家資通安全會報召集人張善政也曾提及。去年,他在出席台北資安展開幕典禮時就提到,「台灣取得ISO 27001資安管理驗證的市場需求大增,但供應端卻是良莠不齊。」
漏洞三:未依產業量身驗證
而在台灣,負責資安的認證、稽核單位多半是營利事業。「在營利事業單位前提下,驗證、發證及後續的稽核皆為同一家公司,這樣的證書能有多少公正性?」一位教資安的老師提出質疑。
荒謬的資安漏洞不止於此,各行業該符合的網路資安條件都因產業特性而有所不同,即使企業能讓坊間的驗證公司每年稽核,也該按照產業類別,訓練專門人才稽核。
據了解,歐美先進國家甚至是中國大陸,負責稽核人員幾乎要求按照產業類別加以區分。但在台灣,目前驗證公司負責稽核的人員幾乎都是橫跨多種產業的「通才」。全國認證基金會就坦言:「目前驗證公司的稽核人員,確實沒有按產業別分類。」
據了解,全國認證基金會曾在○二年八月出過一份報告,附錄建議依照歐聯執委會規則,將產業總共分為三十九類,依照專才分類稽核,但最後卻不了了之。
相較於台灣,大陸對於網路資安的要求,卻是比台灣嚴格、明確許多。大陸師法美國,從一九九五年開始,逐步建立網路資安技術要求的標準,並在準備工作告一段落後,在○七年六月頒布「信息安全等級保護管理辦法」,大陸並沒有遵照ISO的相關辦法,而是自己制定一套資安規則,由專門的公安部落實發證書制度,並定期派員稽核。
此外,大陸將資安分為五等級。反觀台灣,推動資安已經超過十二年,到○九年才訂出「資訊與資訊系統分類分級」工作項目,可是到現在,分類分級的標準都還沒有明確訂定。
ISO制定的國際認證標準並沒有問題,有問題的是台灣政府的心態與執行力,「橘逾淮為枳」,一個國際認可的制度到了台灣後,卻漏洞百出,值得相關單位深思。
