前國安會官員爆「很多」國家機密外泄 吳怡農提3大結構問題
針對總統府內電腦遭駭一事,曾任總統府國安會專委、現爲壯闊臺灣聯盟發起人吳怡農17日表示,究竟有多少對國家至關重要、更機密的資訊,沒有妥善保護、已遭泄漏,只是尚未公開,他沈重地說,「很多」!但他認爲,這是政府最深切的警惕,並提出三個結構性問題。
吳怡農表示,此事件目前看來波及程度限於政治與形象上的傷害,但如果確實涉及總統府電腦或系統的侵駭,對中央政府機關最深切的警惕,是這個行爲路徑不但可被執行,而且透過駭客刻意公開,政府才得知、而不得不公開回應。
吳怡農指出,政府網路系統安全,作爲國家關鍵基礎設施的一環,是他在國安會研究的問題之一,「那期間,我參與跨部門會議、調閱歷年紀錄、也訪問第一線政府人員及業者。」
吳怡農說,「究竟有多少對國家至關重要、更機密的資訊,沒有妥善保護、已遭泄漏,只是尚未公開?我不得不沈重地說,很多。」
吳怡農表示,總統蔡英文、行政院長蘇貞昌若下令檢視2016年至今所有涉及政府系統的資安事件,就會發現一個清楚的脈絡:從最高機構總統府到三級單位如氣象局,政府的資訊網絡極爲脆弱,並長期遭受境外勢力大規模、系統性的侵入,包括全民健保資料庫、公文系統等等,近期更透過委外廠商取得系統權限。
吳怡農說,前總統馬英九時期的國安會,曾經試圖面對這個問題,檢討政府資訊系統的安全設計和管理,但接連開了幾次會議之後,反倒變成「向外」檢討,例如:嚴管民間(金融、水電、交通等領域業者)的資通訊安全。
他表示,過去幾年,蔡英文政府也延續此政策方向:行政院推動「資安管理法」,國安會研擬「國家資通安全戰略報告」,但始終沒有把重點放在政府「內部」的問題,「也就是說,存放國家最機敏資料的機制,沒有被當成核心問題來面對。」
對此,吳怡農也提出三大結構性問題:首先,「政府內部沒有專責單位及人員負責系統安全」,他認爲,公務體系沒有相關的「職系」來培養專業人力;若系統出事,主要由委外的民間廠商協助「清毒」善後,或必要時行政院技術服務中心協助,但無論如何儘可能避免國安人員的涉入;各機關由非專業的副首長兼任資安官,缺乏專業背景,也難以形成專業而客觀的文官體系。其次,吳怡農指出,「政府未對使用者建立安全規範並實施安全教育」,長期以來,長官只要層級夠高,便可以使用個人電腦工作及存放公務資料,形成「愈機敏的資料、管理卻可能愈不嚴謹」的奇怪現象;我們常提到的使用者「人員安全權限制度」也從未落實。
最後,「政府機關之間沒有跨部會內網」,吳怡農表示,機關各行其事,又缺乏安全的橫向溝通管道;在「內網」撰寫的資料,卻需要透過「外網」來傳遞給其他部會;彼此通訊仰賴 Line、Telegram 或 Signal,徒增資料外流的風險,而且無法追蹤、事後分析或利用。