EP17 - 台灣資安現況與政策 | 政務委員 唐鳳
Podcast 連結
本集章節
如何面對有資安疑慮的產品?
如何衡量產品的安全性?
為什麼要用無痕模式和雙因素認證?
現行法規下的數位身分證安全嗎?
數位身分證會不會在未來變成強制的?
為什麼需要白帽駭客?
民眾有什麼簡單的方法可以保護自己?
如何幫助大眾建立資安危機意識?
有什麼管道可以學習資安的知識?
資安該不該被視為一種基本人權?
遇到資安事件有什麼管道求助?
想投入資安產業的話有什麼管道?
唐鳳推薦的資安小工具
如何面對有資安疑慮的產品?
今年四月 Zoom 因為資安相關的疑慮,被行政院禁用(新聞連結:行政院下令公務機關不應用 Zoom,教育部也將發函各校禁用)。這件事凸顯出政府在數位化的過程中可能會有的資安疑慮。我們該如何面對這些有資安相關疑慮的產品?
Zoom 最大的疑慮:有類似言論審查的行為,Zoom 會在開會到一半就將帳號停用,刪除你的會議錄影
口訣: 三國無雙 - 三
三二一備份原則: 要將備份放在三個地方,要有兩種不同的備份方式,至少一份在與你不同的地方
這樣才不會因為任何原因,導致你重要的資料不見。
像是我們訪談的當下,除了透過 Skype 錄影外,委員也同時透過電腦本身和 NAS(網路附加存儲) 備份我們的訪談錄影,如此一來即使訪談錄影被 Skype 刪除了,也能透過其他的備份,確保資料不會遺失。
如何衡量產品的安全性?
資安是個會改變的東西,現在安全的產品未來可能會發現漏洞變得不安全,現在不安全的產品也可能會修補漏洞變得安全。我們該如何衡量軟體的安全性?
口訣: 三國無雙 - 國
如果有雲端和連線的功能,它的伺服器和連接的線路應該要在國內會比較安全。
除此之外,滿足以下三項的其中之一的產品也可以被視為較安全的:
- 由國人參與開發
- 由國人進行稽核
- 開放原始碼的產品,國內有很大的社群在檢視它
為什麼要用無痕模式和雙因素認證?
口訣: 三國無雙 - 無
使用瀏覽器的無痕模式,不要下載軟體也不要安裝軟體。
當我們只是要短暫的/一次性的使用某些功能(像是 Zoom 等視訊會議)時,盡可能不要下載、安裝任何軟體在電腦上,我們可以使用無痕瀏覽器透過網頁版的功能就好。
這樣能避免我們安裝的軟體不管在現在或未來可能會引起的資安漏洞。 也因為我們使用的是無痕模式,因此這些軟體想後續追蹤使用者也比較困難 。
口訣: 三國無雙 - 雙
如果真的必須要註冊帳號的話,要確保帳號有雙因素認證,不管是透過簡訊、手機上驗證器、指紋 /人臉辨識或實體的驗證金鑰等工具進行二階段認證。
這樣即使面對了類似加拿大政府網站受到被駭客攻擊的事件,受到帳密填充攻擊,也不用擔心會受到影響。
複習
現行法規下的數位身分證安全嗎?
今年中,在政府公布要推行數位身分證後,引起許多民眾與學者的質疑,這些質疑主要圍繞在數位身分證的隱私、個資、和安全性相關的問題。在現行的法規下,數位身分證夠安全嗎?
數位身分證是將現有的紙本身分證和現有的自然人憑證結合。
- 身分證的功能為驗證身分 AuthN (Authentication)
- 自然人憑證的功能為授權 AuthZ (Authorization)
結合兩者的數位身分證優點是可以增加使用上的方便性,但這完全取決於民眾,大家可以自由的選擇不要領取有結合自然人憑證功能的數位身分證。
複習:身分驗證的三個步驟
未來會不會強制民眾一定要使用結合兩者功能的數位身分證?
政府會不會在數位化的過程中,在未來強制民眾一定要使用結合身分證和自然人憑證的數位身分證?
應該是不至於,我們是個民主的制度,所有的政策都需要對立委和議員交代,因此政府會要對人民透明。
政府不會嘗試著要求人民對政府透明(如數位人民幣之類的東西),這麼做只會增加政府的負擔跟麻煩,政府手上的個資越多,風險就越高,那就更有可能成為駭客的目標。因此政府會傾向最小程度的蒐集和儲存民眾的資料,在使用時也要給得出交代。
可能的問題: 部分的部會並不獨立,如果政府官員決定實行侵犯人權的事情,這些事會不會被接露也是一個很好的問題。
解決辦法: 參考歐盟 GDPR(一般資料保護規範) 的做法和架構,應該要像我們的運安會一樣成立一個獨立的機關,除了政府外也加入一些民間的專家來檢視我們所使用的方式和資料不會被濫用。這個獨立的專責機關會在接下來的會期提出組織法給立法院,希望能三讀通過。
為什麼需要白帽駭客?
數位身分證的系統在測試的階段有請白帽駭客來做測試,為什麼會需要白帽駭客的幫忙?這個機制在測試階段結束後還會持續嗎?
實例: 國發會的MyData 網站 就在服務上線的不久後,被AuthMe 團隊 發現有漏洞,我們在 MyData 網站上登入的 token 不會過期,因此如果電腦被駭客入侵,攻擊者就可以透過這個 token 去 MyData 網站下載你的資料。 AuthMe 團隊在發現漏洞後馬上就通報給唐鳳委員,委員在確認過後,國發會就先將 MyData 平台下架,並請資安處的同仁與 AuthMe 團隊直接協商開會,並在同一天下午就修補好漏洞了。
我們的重點不是指望系統完全沒有問題和漏洞,而是透過適當的獎勵白帽駭客,讓被發現的漏洞可以很即時的被通報和修補。並在未來系統建置的過程中,邀請這些白帽駭客來一起規劃,而不是等到系統都建置好了,才讓白帽駭客來發現這些漏洞。
白帽駭客在透過這些漏洞獎勵機制,除了可以拿到獎勵外,也可以得到名聲、發表 CVE 等等的好處。 目前數位身分證系統在測試階段有開放白帽駭客進行測試,漏洞獎勵機制在測試階段結束後也會持續,只是獎金會較低。
民眾有什麼簡單的方法可以保護自己?
前面提到的三國無雙秘訣中的三、國應該是一般民眾較難自己做到,但無、雙這兩點事一般民眾可以很輕易做到。
就像我們在防疫上需要戴口罩和勤洗手,兩者是要相互配合才有用的,只做到其中一項是不夠的。 無、雙也是類似的概念,最好是能兩者一起做才能達到會好的安全效果。
如何幫助大眾建立資安危機意識?
在防疫上,民眾都知道要戴口罩和勤洗手這些基本的防疫觀念,但在資安上很多人會不知道從哪裡開始,我們能夠怎麼做來幫助大眾建立一些基礎的資安危機意識?
戴口罩勤洗手這樣的防疫觀念是靠許多的時間以及不同領域的人才的合作,包含了厲害的繪師、有創意的小編和該領域專業的人員等等,才成功建立起記憶點讓民眾記得正確的防疫觀念。
圖片來源:衛生福利部 Twitter
透過這樣跨領域的團隊,我們才有辦法達成 Public Awareness Campaign(公眾宣傳活動)
我們可以透過類似的方式,幫助大家建立起資安危機意識
有什麼管道可以學習資安的知識?
教育部有建立一個全民資安素養網 ,這是一個最初階教育網站,不需要具備任何先備知識,任何人都可以在上面學習一些基本的資安知識。
如果是稍微專業一點的,對資安這個領域有興趣的人,可以聽聽像是資安解壓縮這類的 Podcast。
資安該不該被視為一種基本人權?
一般在討論人權時講到的是生命、自由和人身安全,但現在環境已經不太一樣了。之前委員曾提過網路也算是一種人權,既然現在網路的普及率很高,很多人每天上網的時間比待在戶外的時間還多,那在考慮網路為人權的同時,是不是也可以將資安視為一種人權?
在憲法第十二條上有提及人民有秘密通訊的自由,因此憲法上已經有包含到這個部分。
除了憲法以外,我們也透過資通安全法和未來可能推出的數位通訊傳播法等等的基本作用法來確保這些自由可以被維護。
在組織法上,未來也希望透過剛剛提到的獨立個資專責機關或是數位專責部會,來支持作用法。
透過這些法律我們才能確保我們每天在用的演算法是在為憲法的目的而服務,而不是演算法凌駕了作用法。
遇到資安事件有什麼管道求助?
如果發生資安事件,如 Google 帳號被盜,民眾可以透過撥打 165 報案,請警政署的科技犯罪專職部門協助。
過去大公司如 Google、Facebook 與我們的司法體系上的互助是有磨合的空間,但在最近兩三年以來,這些大公司與我們 165 間的關係是越來越好了。
想投入資安產業的話有什麼管道?
許多學校都有資通安全相關的學分學程,如果是學生或是願意重返學校的民眾,這會是一個幾乎保障就業的學程,因為產業在這方面的需求非常大。
在資訊管理、資訊工程、人工智慧等等的領域都需要了解基本的資訊安全原理,才能把在資訊方便的工作做好。這個部分就有更多的管道,包含終身學習、網路授課等等的資源,可以透過搜尋一些關鍵字來找到。
除了軟體通訊應用上的資安,其他各個領域因為各種系統的數位化、萬物聯網的因素,也需要資安的人才和資源。因此不管你是在哪個領域的人才,你都可以找到專職於你的領域中的資安需求,不是說想要投入資安就一定要轉職到純軟體的領域。
唐鳳推薦的資安小工具
Google Authenticator - 透過 Google Authenticator,來達到前面提過三國無雙中的雙,雙因素認證。
除了 Google Authenticator,其他常見的雙因素認證 App 還有: