考試院銓敘部發生重大資安事件,公務員個資被張貼在美國的網站論壇,身分證字號、姓名、服務機關、職務編號與職稱遭外洩,影響人數高達24萬3376筆。新加坡日前也爆出史上最嚴重的個資外洩事件,駭客入侵星國最大的醫療服務集團系統,偷走了包括星國總理李顯龍等150萬名病人個資,以及約16萬病人的用藥資料。這兩起資安事件的背後,恐都暗藏外國勢力的介入。
除了技術,還要注意「人」的破口
面對科技戰的威脅,台北科技大學智慧財產權研究所副教授江雅綺受訪表示,這不僅牽涉到技術的問題,還有要防範人為與制度面的破口,例如裝鎖以防制小偷,但沒法百分百保證不遭竊,所以資安防護系統,包括技術、軟體、人員、制度等不同層面,而台灣除了設立資通安全辦公室,也在去年通過了《資通安全管理法》,可進一步觀察其運作。
但是,有關《個人資料保護法》,目前未設單一主管機關,僅由國發會成立「個人資料保護專案辦公室」,跨部會因應歐盟於2018年5月全面施行的一般資料保護規則(GDPR)。江雅綺認為,個資保護、利用的議題日益重要,宜由法律明定專責個資主管機關。
盤點兩岸學術研究交流
進一步探究「科技竊盜」行為,還包含了關鍵技術與智慧財產的問題,這是現代化國家發展的重心。2018年胡佛研究所的報告提到,「中國如何系統性的利用,非正式交流和合作場合,盜取美國關鍵科技智財與技術。」這也是中美貿易戰的問題背景之一。
以中國招攬海外高端人才的「千人計畫」為例,科技部亦掌握台灣有領過學術補助的學者、研究人員加入;教育部也查核到現職教師參與。江雅綺說,中國是以國家級戰略,快速吸收人才,台灣也應該「盤點兩岸學研交流」,針對一些使用到國家資源去栽培、培育的基礎關鍵科技領域,國家有責任做適當把關。
兩岸交流資訊揭露法制化
在法制修訂的面向,江雅綺提到澳洲日前通過的兩項法案,可作為立法參考,分別是「國家安全立法修正案(間諜活動及外國干預)法案」,以及「外國影響力透明化法案」。
其中包含三大重點,在資訊透明方面,法案要求遊說人士申報,是否在為其它國家的政府服務,若有未披露關聯者將面臨刑事檢控。對於間諜的刑罰,亦大幅加重,洩露國家機密資訊的聯邦官員將面對更重罪責,入侵澳洲企業系統盜取商業機密的外國人,則要面對最高15年的監禁。同時,也增加新型態外國干預及破壞罪行,把破壞「重要基礎建設」,如電網及交通系統的行為刑事化 。
成立「混合威脅對策小組」因應科技攻擊
對於「科技攻擊」的混合威脅,也有著許多不同的樣態,像是運用科技自動生成虛假訊息,以人工智慧製造深假影像,用以混淆視聽,或是在資訊設備中開後門,竊取各種民生相關的資訊,這些無聲且難以辨別的資訊,正滲透進入民眾的日常生活,人們愈來愈易受到從資訊面、社會面、心理面…的混合(hybrid)式攻擊的影響。
由於在歐美已有較多的實證資料,例如俄國透過資訊戰的操縱,影響民主社會選舉或政治的案例,歐盟也意識到網路資訊戰改變了傳統戰爭與和平涇渭分明的狀態,因此在3年前成立了歐洲對抗混合式攻擊挑戰中心(The European Centre of Excellence for Countering Hybrid Threats,Hybrid CoE)。江雅綺建議,政府可成立「混合威脅對策小組」,由科技、法政、國際政治等不同領域人員組成,並與國外定期交流。
