(1)事件:內政部舉辦「身分證明文件再設計徵選活動」,遭對案駭客攻擊(新聞來源: http://news.ltn.com.tw/news/politics/breakingnews/2408165 、https://www.chinatimes.com/realtimenews/20180427002244-260407 )
(2)被攻擊單位:內政部
(3)系統:「身分證明文件再設計徵選活動」網頁
(4)時間:2018年4月
(5)攻擊方式:利用網業漏洞綁架網頁
先引述自由時報黃姓工程師的推測說法:
「活動官網竟被駭客綁架走!」黃姓工程師向本報投訴,他自己懂得寫程式,內政部委外所做的活動網頁,很明顯出現資安漏洞,研判程式沒寫好,才會那麼容易就被植入程式碼,直接「綁架」導去中國網站,若點選其他作品,還會連去不存在網頁,後來更掛掉癱瘓。
以上提到一個問題,就是『程式沒寫好』,這是黃姓工程師的推測,最後還是必須由專門的資訊人員確認才能了解真實的情況。
就上述新聞提到『資安漏洞』,筆者在此想到一個資安漏洞的相關議題,那就是有關『漏洞的揭漏方式』報導,根據國際上的做法是在90天之後,才能公告資安漏洞訊息,為什麼需要90天?筆者對這個不成文規定也是充滿疑惑,所以引述幾篇新聞來做解釋,以下將引述『資安人』作者:邱述琛、吳雅倩 2017 / 09 / 22的三個案例,也許這樣不成文規定有他的用意在,茲將個案分述如下:
(1)2016年,安全研究公司MedSec在未通知可以修補漏洞的業者情況下,將漏洞資訊先揭露給投資公司,再公布業者製造的心律調整器與其他醫療設備弱點可能導致遭駭,同時也引發出,注資投資公司壓注該公司股票下跌。此具有高度爭議性揭露弱點方式引發資安社群的高度關注本案,因為這可能是首件利用網際安全弱點套利的案例,除引發道德爭議外,也可能讓資安弱點揭露的議題更加複雜。
(2)2017年德國資安研究公司ESNC因為揭露了某單位以SAP開發的自動控制評估工具存在漏洞,儘管ESNC當時已通報該單位,並按業界揭露漏洞常態於三個月後公佈漏洞,但仍收到律師信要求不得公開。
(3)最近的案例則有2017年9月南韓研究人員因之前提供的漏洞訊息未獲得業者感謝,且發現業者私下發布部分漏洞之修補程式而感到未獲得尊重,故這一次選擇在未聯絡業者情況下完全揭露之情況,更是將廣大的使用者陷入險境。
另外,2016年google跟微軟也是因為漏洞太早公告,因而槓上的問題,以下引用iThome的報導:
https://www.ithome.com.tw/news/109340
以上幾個案例,可以讓我們看到,資訊揭漏的問題,其中,有些是道德問題,有的是為了引資的問題。但筆者提出一個看法,其實台灣是可以參照台灣公開資訊觀測站的模式,建立一個比較完整的規範及平台。
台灣目前在公開資訊觀測站上的公司公告,主要還是以財務為主,比較不會去公告資安相關的公告,但是,還是可以參考比照公開資訊觀測站的模式,來規範全台灣將近兩千多家的上市櫃公司,甚至往下延伸。以公開資訊觀測站的公告為例,其公告都是有一定統一的格式在公告上傳的,同時,上市櫃公司都有ㄧ位管區(就是承辦窗口)在負責監看公告內容,如果公司未公告,或者公告訊息有誤等等,管區都會在第一時間通知公司修正,或撤除公告,並且具有罰款及懲處的權力。台灣的公開資訊觀測站雖是參照美國EDGAR所設計出來的資訊公開平台,但是就其設立之後的結果呈現,卻是優於世界各國的,所以其實資安公告也可以參照這個方式來進行資訊揭漏,以避免太多爭議。
其次,有關公司資安是否會造成投資者或消費者對於公司營運的質疑,甚至會引發道德上的問題等等,筆者認為,一家負責任的公司,還是得做好公告,有太多企業都在事發數年之後才被新聞所揭漏出來,老實說,企業形象也已經受損了,而且也損害其他企業,甚至直接損害消費者,事後彌補很多都無濟於事。或許國際上知名企業自行約定90天時間,也許有其意義存在,或許90天是個緩衝期,畢竟,如果以資安來說,有的問題,都不是一天、一個星期、一個月可以解決的,所以設定一個緩衝期,也讓企業有應變時間,這點並無可厚非。
最後,很多案例都顯示,政府單位資安並不安全,加上對岸攻勢不斷,有時真的難以招架,但若與美國相比,台灣已經算是小巫見大巫了,只能引用孟子說生於憂患死於安樂,有憂患意識存在,才能避免掉很多危難,就正面思考來說,也是種提升資安的動力來源。以戰養戰吧....