“科技101”栏目,由美国之音科技与网络安全记者黄耀毅为我们介绍最新的科技趋势。
2015年美国联邦人事管理局发现黑客入侵多时,数以百万的联邦雇员资料遭到窃取,负责调查的美国官员与网络安全专家指称是中国黑客所为,不过中国否认。美国国会针对此事持续调查,并在上周发表调查报告。
9月7号,美国众议院“监督与政府改革委员会”针对2015年美国联邦人事管理局遭到中国黑客入侵一事,提出241页的调查报告“人事管理局资料外泄案:一个世代以来政府如何为害我们的国家安全”。这份报告由三位共和党议员共同著作,分别是犹他州的杰森夏非兹、北卡罗来纳州的马克梅铎,以及德州的威廉赫尔德。
严重伤害美国国家安全
由于这份报告是由“监督与政府改革委员会”所制作,所以调查重点是放在如何改善美国政府,确保未来不再受黑客入侵,所以并未特别针对黑客源头,关于黑客的调查单位是联邦调查局FBI、国土安全局,以及美国司法部等单位。报告中说“方便起见,我们将之称为黑客X1 跟黑客X2”。
今年7月美国之音记者曾经问过美国司法部助理部长约翰卡林,他表示人事管理局遭到黑客入侵的案件,还没有结案。由于美国与中国之间的敏感情势,美国官员指有在以不具名的方式接受采访时,会说是中国黑客所为,在公开场合只会用“源自中国的网络攻击”这样委婉的说法,从未公开说出中国黑客这四个字。不过网络安全专家在分析黑客攻击方式与技术之后,都将箭头指向中国,而被发现在人事管理局安装后门,导致黑客入侵的合同工当中,有两位持有中国护照。
而从美国官员的一些评论看来,也可窥见端倪。如前美国中央情报局局长迈克尔黑顿(Michael Hayden)说:“直到那些人去世为止,人事管理局当中的人事资料对中国来说是个资讯宝库。”
此外,美国政府的一些作为,也呈现出这些黑客的源头,如美国国务院紧急召回一些派往中国的员工,因为他们其实是为美国情报部门工作,而这样的资讯在这批被黑客窃取的资料当中可以被分析出来。
这份国会报告当中指出,有420万现任以及前任联邦政府员工、2100万申请过极机密等级的人的个人资料,都遭到中国黑客窃取。同时,这当中的人有560万人的指纹也被窃取。国会报告特别列出本次资料泄密所会造成的重大伤害,就是安全审核表格内容的泄露,因为这份表格是所以申请安全等级的人都需要填写的,包括美国国防部,到美国国务院的员工。联邦调查局局长詹姆斯科米(James Comey)说:“我的安全审核表格(SF-86)列出了我18岁以来住过的所有地方,我旅游过的所有外国国家,我全部的家人,他们的地址。所以不只是我的身分受到影响。我的兄弟姊妹,我的五个孩子,他们的资料都在上面。”
这份报告认为,人事管理局的这次黑客入侵事件,对美国已经产生危害国家安全的程度。
谁该负责?
报告中指出早在2005年,人事管理局当中的督察办公室就已经指出人事管理局拥有如此敏感资料,但却缺乏完善的网络安全防护措施,但该单位却一直没有改善。所以这个问题是已经存在十年以上了。不过报告中也指出,2015年督察办公室将警告升级,说人事管理局的安全措施是“显著不足”。而且在2014年,美国国土安全局的“电脑危机应变小组”(US-CERT)还特别通知人事管理局,说有第三方试图侵入他们的系统。而2014年5月,国土安全局协助人事管理局将代号“黑客X1”的入侵者赶出系统,但却未察觉黑客X2已经悄悄进入他们的系统。从2014年7月到8月,黑客偷走安全审核资料,2014年12月,偷走人事资料,2015年初,偷走了指纹资料。
国会报告认为,已经有多次警告,并且面临过真正的入侵事件,但人事管理局却迟到2015年之后才开始布署更为精密的安全防护措施,而直到2015年4月才发现这起严重的黑客入侵事件,所以人事管理局存在着人为疏失。
当时的人事管理局长凯瑟琳阿邱丽塔(Katherine Archuleta),在这件事之后以辞职以示负责。不过人事管理局方面也对谁该负责人有不同看法。如当时的人事管理局科技长唐纳希摩尔(Donna Seymour)就说,不是他们不愿意加强安全措施,并且将人事资料作加密处理,而是联邦政府设备太老旧,有些甚至落后20年,他们无法一下更新那么多。也有评论指出,其实联邦政府一直试图加强安全措施,但这几年国会预算一直打死结,好几年来联邦政府速算持续被削减,甚至在2013年导致联邦政府关门,所以也不能只怪行政单位。