「我們這樣出去比賽,一定被『電』好玩的,真的要參加嗎……。」去年十二月,財政資訊中心資安健檢與數位鑑識團隊突然被上級要求組隊,代表財政部參加台灣駭客年會(HITCON)主辦的企業資安防禦大賽。接獲指令當下,距離比賽只剩不到兩周的時間。
當時,這個由財政資訊中心、關務署、台灣銀行、國有財產署等單位人員合組的團隊,成軍剛滿兩年,從來沒有「外出走跳」的經驗;這場攻防戰又是要與技術赫赫有名的中華電信、工研院等單位,共同接受HITCON高手挑戰,「大家的第一個反應就是恐懼,沒人敢自願加入。」團隊隊長、財政資訊中心綜合規畫組副組長朱國華回憶。
「不出去看看,怎麼知道高手在玩什麼?就算成績不好,當做學習就好。」在朱國華一番努力說服下,好不容易才湊齊了五位參賽代表;由於事態緊急,他們連隊名都沒空想,僅以毫無驚喜的「財政部資安團隊」名義出賽,結果竟以黑馬之姿在六隊當中獲得亞軍,僅次於中華電信,「我們還是不敢說自己多厲害,但那次比賽後,確實多了一點信心。」朱國華說。
這支原本沒什麼知名度的財政部資安團隊,是財政資訊中心主任陳泉錫二○一六年到任後,為重建公務機關內部資安技術自主能力,協調其他單位指派資訊技術能力較佳的公務員共同組成。他們被賦予的任務十分明確:扮演財政部的「白帽駭客」,想辦法找出財政部各機關尚未發現的資安弱點,並提前因應修補,以降低來自外部的惡意攻擊風險。
財政資訊中心負責集中管理財政部轄下所有的實體伺服器,以及中央地方稅務、海關進出口等機敏資料;模擬攻擊,並非這個以「保管」為主要職責的單位業務。
由於並非編制內單位,這批「實習白帽駭客」平時就和其他公務員一樣負責分內業務,每周壓縮個人工作時間,抽出兩個下午「集訓」。儘管十八人加入戰隊前,都已是各單位的頂尖技術人員,但普遍缺乏資安實務經驗,因此必須從入門的「資安檢測基本常識」、「資安事件處理流程」學起。