資訊安全就是國家安全,這個道理人人皆知,政府亦然。政府機關坐擁國家機密 資訊,手握人民的敏感資料,在資訊安 全的防護上有更大的責任。

政府機關對資安的重視,一直以來都走得比 民間企業還要快,不論是資訊安全防護網的建 設、資安管理制度的落實,或是資訊安全意識 的教育訓練,過去至今都持續在進行。畢竟, 海峽對岸的中國仍舊以敵對的立場,發動針對 政府機關的網路攻擊與情報竊取,因此,政府 機關的資安管理必須時時刻刻上緊發條。

然而,從最近幾起跟資安有關的事件來看, 我不禁擔心政府資安的發條是不是鬆了?

第一起事件是發生在本月初的OpenSSL安全漏洞問題,這個漏洞被發現者以「心臟淌血 (Heartbleed)」來命名,可見其問題的嚴重性。事實上這個命名貼切,因為SSL是當今網站 為了保障資料安全傳輸所仰賴的加密技術,而上至Google、Amazon這類大型網站,下至使用 開源套件架站的線上商店,都在使用OpenSSL 加密工具,因此OpenSSL Heartbleed這個漏洞將使得多數網站的傳輸加密防護,形同虛設。

簡單來說,如果你曾經跟使用OpenSSL的網站有過交易,像是已經申請了帳號密碼,而這個網站使用的OpenSSL是有漏洞的版本,那麼你的帳密就有可能被駭客竊取,因為這個漏洞已經存在2年了。

OpenSSL Heartbleed被稱為是史上最嚴重的網路安全問題,資安教父Bruce Schneier甚至以網路災難來形容,他說如果以嚴重性10分來評分,Heartbleed甚至可以得到11分,問題嚴重到足以破表。

在4月9日Heartbleed漏洞被揭露之後,面對可能是史上最大的網路災難,全世界都緊急動員起來。全球媒體大肆報導,iThome也不例外,從4月9日就開始一系列追踨報導,而許多國家的電腦安全緊急應變中心,也立刻發出通 報與應變指南。

但是,臺灣幾個電腦安全應變中心在第一時間卻沒什麼動靜。率先發出公告的是行政院研考會委託中華電信的政府網際服務網,在4月9日發布公告;而國家安全政策最高單位國家資通安全會報,則是在4月10日於國家電腦事件 處理中心網站公告,4月11日國家資通安全會報技術服務中心發布安全通報給機關、學校等單位;TWCERT網站,則是4月11日公告由技術服務中心發出的通報。

由此可見,許多政府機關是在Heartbleed漏洞被揭露的2天後,才收到安全通報,在過去以人工傳遞公文的年代,2天的時間差可能沒什麼大礙,但現今可是網際網路的時代了,許多網路攻擊都是在漏洞被揭露的當天就陸續發生了,2天的空窗影響可不小。

政府的資安通報不僅發送時間慢了,通報內容跟其他國家的比較,也是令人汗顏。如芬蘭、美國等國家的Heartbleed資安通報,除了問題的描述、影響的平臺、建議措施,還列出了一長串受影響的資訊設備,包括廠牌與型號。而我國政府技術服務中心的安全通報,就是制式的問題描述、影響平臺及建議措施,若把參考資料網址也算進去的話,以A4紙印出來還不到1頁半。

不只是安全通報比別人慢、內容點到為止,就連接下來掌握政府機關受影響的狀況,也都慢了好幾拍。

因為Heartbleed漏洞存在2年之久,有可能駭客早就竊取密碼了,所以根本解決之道是在修補好OpenSSL漏洞後,要求所有使用者立即更換密碼。前幾天,美國政府的健保網站,就要求8百萬用戶更換密碼。而臺灣呢?負責國家安全政策的行政院資通安全辦公室說,要到4 月底才能完成對政府所有網站的安全掃描,屆時才能完整掌握所有狀況。

也就是說,政府現在沒辦法告訴國人,到底哪些政府網站是安全的,以及是否該立即採取更換密碼的保護措施。因此,政府網站現在還處於Heartbleed危險空窗期,只求人人自保。

不只是Heartbleed的問題如此,Windows XP 終止支援的安全問題亦雷同。Windows XP在4 月8日終止支援了,這回資通安全辦公室確實提早發出公告與因應指南,提供各機關學校應 變之道,但是,這份公告竟然是3月26日才發 出來,距離XP終止支援日只提早了2周,扣掉公文旅行的時間,機關單位哪有足夠的時間因應?當然,許多單位早就考慮到提早因應XP的問題,倒不需要依賴這份通報的提醒,但由資安辦發通報的時間點來看,這份通報似乎只是為了要應付交代,徒然是個笑話。

所以,政府資安的發條顯然是鬆了,現在不只是自己的國家要自己救,自己的資安也得自己顧。 

專欄作者

熱門新聞

Advertisement