美国软体巨擘微软公司(Microsoft)于本月公布年度数位防御报告(Microsoft Digital Defence Report 2022),直指中国加强了情搜行动和窃取资讯的网路攻击,主要锁定美国、台湾等5个国家。
不过,在微软发布报告约3个月前,台湾上至政府机关、下至民间企业,早已感受到来自中共相关团体在云端上的猛烈炮火;在美国众议院议长佩洛西(Nancy Pelosi)今年8月初旋风访台前后,台湾不仅便利超商、铁路车站等电子看板遭境外网军入侵,就连外交部、国防部,甚至总统府等数个中央及地方政府官网也遭“阻断服务攻击”(DDos),也就是恶意放大流量数据请求,使目标伺服器或网路资源耗尽,以干扰系统运作的方式,导致网站一度无法正常显示。台湾电力公司当时表示,在8月3日佩洛西访问当天,受到的骇客攻击次数高达490万次,“超越过去两个月的总和”。
在中国网军加大对台湾威胁同时,肩负建构全民数位韧性以应对资安挑战的台湾数位发展部(以下简称:数发部),就在这样的背景下,于今年8月27日挂牌成立。数发部第一任部长、也是台湾首位跨性别阁员唐凤,于8月初数发部网站刚成立之际对媒体表示,该网站采用新的Web3架构,并未受到境外网军干扰,“一秒钟都没卡住过”。
如今,数发部网站已正式上线超过一百天,然而唐凤在接受美国之音专访时仍自豪表示,网站运作依旧一切正常,“不但是没有卡住过、也没有被窜改等等”;而上任将届满3个月的唐凤,也透过这场访问,畅谈数发部对提升台湾资安的实质计画及未来愿景。
无惧中国网军威胁 唐凤:免费“红队”测试
唐凤在访谈开始不到5分钟,就先针对数发网的架构设计详加说明,她说:“Web 3的架构有个特色,就是任何人都可以来帮我们。任何人只要在电脑上面装了IPFS(星际档案系统)的软体、或IPFS的浏览器,他就可以帮助我们备份我们的网站,他只要稍微按个‘pin’(指钉选),就等于看了之后不但加入书签,而且存一个离线的备份在自己的电脑里。”
唐凤口中所说的星际档案系统,是Web3的重要基础设施,具有去中心化及安全等优点。而谈到佩洛西访台时大批中共相关团体网军的攻击,唐凤则笑称这仿佛是自己送上门的‘红队’测试,也就是免付费的模拟入侵网攻训练。唐凤正面迎战网军也带来收获,让台湾其他部门争相探究数发部的资安维护能力。
唐凤说:“我们的设计本来就是韧性,要因应这样子资安的挑战,我们本来也是要安排像‘红队’测试等等,让我们在地的这一些团队,能够试着打我们的这个架构看看,结果我们也不用付钱,有‘免费’的‘红队’测试,开始这样DDos(阻断服务攻击)...。而且,我们增进这样子能力的过程,不管是(台湾)外交部、国防部,甚至总统府等等的同仁,就觉得很好奇,为什么我们这边(网军)打不到,他们很想要学习。”
台政府广推“零信任架构”
唐凤进一步表示,由于目前看来数发网能有效抵抗网军入侵,因此虽然网站由他跟其他同仁一起发想、建构,但会以抛弃其 “著作权”,让台湾各大政府官网未来也能采用同样架构。
唐凤说:“可能关键基础设施、重要的政府部会,两年之内就要用我们的所谓的‘零信任架构’,Zero Trust Architecture,这个就是设备、连线,身份的三重验证,这样子的话,即使骇客破解系统管理员的密码,他也没有办法同时破解设备、或者是连线,或者身份层的其他层,这样子就可以达到,即使骇客攻破其中一个部分,其他部分还是可以起到联防的效果。”
据以色列资安大厂CyberArk资料,‘零信任架构’是产业分析师金德瓦格(John Kindervag)2010年所创造的名词,强调“绝不信任,必须验证”的概念,目标是降低大多数组织在现代环境下遭受网攻的风险,目前包含Google等大型企业已建构自己的“零信任”模型。
不断网系统确保战时、天灾通讯
然而,台湾数发部除了预计在两年内,让全台重要政府系统采用‘零信任架构’之外,唐凤也在先前接受华盛顿邮报专访时表示,台湾正建立不断网系统,以避免民众在灾难发生时遭受假讯息的扰乱。
根据瑞典哥德堡大学主持的跨国学术调查V-Dem计画,台湾自2013年起,连续9年蝉联全球遭受境外假讯息侵扰最严重的国家。哥德堡大学林柏格(Staffan I.Lindberg)更曾说,合理怀疑中国是以假讯息攻击台湾的“主嫌”。也因此,防堵虚假消息散播,对台湾来说至关重要。
针对未来的不断网系统计画,唐凤强调,这是参考乌克兰在对抗俄罗斯入侵时,藉由总统弗拉基米尔·泽连斯基(Volodymyr Zelenskyy)每日演说、以及当地英语媒体即时传播当地最新情况,因此希望确保台湾遇到战事或重大天然灾害时,也能像乌克兰一样,向国内及国际无延迟发送当下情势与灾情。
唐凤说:“(乌克兰)这样子(对外传播),就让基辅(乌克兰首都)的情况就没有乱掉,所以我们跟乌克兰的经验学习,就是要达到全民的数位韧性,碰到这些不利情况的时候,不但我们要确保新闻工作者有充足的频宽,也包含其他的应变,包含医疗、避难等等的这些工作者(能及时传递讯息),所以我们会在接下来两年我们在国内挑700个点、国外有3个点,去建立这种中轨道和低轨道非同步卫星的接收站。”
乌克兰在俄乌战中,就是藉由特斯拉(Tesla)创办人埃隆·马斯克(Elon Musk)的SpaceX低轨卫星网路”星链”(Starlink),迅速恢复了与关键地区的通讯连结。
“本地云”、避独家合作强化资安
针对开放商用卫星通讯频率,台湾数位发展部已于今年11月8日受理申请,并表示欢迎与符合法规的业者进行合作。然而,台湾各界引颈期盼能尽快引入的SpaceX,其创始人马斯克先前的一番政治言论,却让当地大部分人士相当感冒。
马斯克稍早在接受《金融时报》(Financial Times)访问时表示, 中国和台湾之间的紧张关系,可以通过将台湾的部分控制权移交给北京来解决。马斯克此话一出,随即引起评论人士批评,他对台湾问题和中国当局缺乏认识。台湾外长吴钊燮则说,马斯克的言论与北京想法完全一样,“这是中国的提议…台湾人对这没兴趣”。
不过,唐凤并不认为符合申请卫星执照要件、政治倾向却较亲中的国际卫星业者有能力危害台湾资安。唐凤指出,在商用卫星执照申请上,有董事长应具有中华民国国籍、外资直接持股不得超过 49%,中资不得涉入等法规限制,相关规范已让资讯获得相对应的保障。另外,台湾也将避免只与一家卫星厂商独家合作,不把鸡蛋放同在同一篮子里,且大型公有云公司也已相继在台布建资料中心,这些做法应能避免资安风险升高。
唐凤说:“对一个资安的攻击者来讲,你要同时熟悉这么多个‘Tech Stack’(技术堆叠,指掌握这些技术以及配合使用的经验),而且要一次把它全部拿下来,这个难度是非常高的,但是如果他们(指网军)知道说,我们就只会跟某家独家合作,那他们花个几年去研究这一家,那说不定有机会。
(另外Google、亚马逊和微软)三大公有云,他们都表达不但是资料是在台湾运算,而且他们也承诺,跟我们的在地的服务的公司合作,那就是只用具有我国国籍的人士,所以就不但是管理者、以及他落地的(公司),这两个都要能够扣合我们这种‘本地云’(指确保数据由可信任的业者在本地资料中心储存、运作)的架构内,(这样)这个跨国的管理层言论之类,就跟资安要求(的)关系就比较不大。 ”
数发部一年内目标: “台湾制造,信任可靠”
虽然唐凤在专访中细谈数发部许多计画,但她也说,至今仍不忘创立数发部的初心,也很开心初衷受到外界肯定。唐凤说:“数位部的初心,就是数位韧性,Digital Resilience,对于面对各种自然或者人为的灾害,要能够随时回应,而且在回应当中、打击当中成长,这样的期待,那我觉得很幸运,就是我们刚开张,就收到可能四五千份履历。也就是说,不管是公务机关还是民间的朋友,都很认同我们这个创业的初心、这个初衷,这个愿景。”
在专访进入尾声同时,唐凤也透露数发部未来一年的目标,除了将全面推动零信任架构、强化各个产业的资安之外,还将持续促进台湾在半导体的全球领先地位,藉由推动晶片安全检测能量,接轨国际标准,希望将台湾制造(Made In Taiwan)与诚信制造(Made In Trustworthiness),作最完美结合。
唐凤说:“我们率先去建立‘晶片安全联合检测实验室’,所以是整个chip(晶片)相关的流程,包含它的软体、硬体服务等等,都有这个合规的方法,所以我们也是把这样子的规格,跟国外的朋友分享,希望能够达到交互认证。所以一句话,我们希望在接下来一年里面,大家看到‘MIT’,‘Made In Taiwan’的这些产品、服务,晶片等等,这个‘T’不是只是台湾。也是‘Trustworthiness’,就是值得信任,‘台湾制造,信任可靠’”。
评论区