2019 TWIGF臺灣網路治理論壇——軍方在資安治理的角色?
軍隊/軍方在國家資安治理中應擔當什麼角色?
不是管好軍網就好了嗎?
先簡單說一下國軍網路
- 國軍網路其實分成兩大部分:僅供內部使用的軍網,與對外資訊的民網。根據2018年國防部通資次長室提出的《國軍資安防護機制書面報告》,國軍軍網、民網、各指管系統均採「實體隔離、專網專用」,而民網已建置「資安防護管理中心」並納入行政院「政府網際服務網」統一偵測監控。民網遭異常掃描、偵測及疑遭攻擊次數自2014年起皆有數億次,其中軍醫局更受到國防部網站十倍以上的攻擊量。(統計年份為2013到2017年)
- 軍網則是各部隊間指揮、管制、通訊用的網路,有些是用實體連接,有些又加上VPN虛擬私有網路增加情報分享的安全性。雖沒有直接的資料,想必受攻擊情況也不容樂觀。
- 資料來源:《國軍資安防護機制書面報告》,國防部通資次長室對立法院第 9 屆第 5 會期外交及國防委員會第 14 次會議關係文書,2018 年 7 月。網址:https://lci.ly.gov.tw/LyLCEW/agenda1/02/pdf/09/05/14/LCEWA01_090514_00831.pdf新聞報導:羅添斌,〈疑為竊取軍人軍眷個資 中國網軍 狂駭我軍醫院〉,《自由時報》2018年5月28日,https://news.ltn.com.tw/news/focus/paper/1204233。
接著稍微描述當天的討論內容
- 第一位與談人:帶我們藉由整體的組織安排來看歐洲幾個國家是怎麼樣的想法。協調整體資安政策的單位是何者?一般危機處理的單位又是何者?兩者是否相同?具有資訊安全能力的單位是分散的還是集中的?那對網路活動的監控呢?與情報單位間是內部還是外部的關係?整個網路治理模式是什麼?
- 可發現荷蘭整體偏向防治網路犯罪;愛沙尼亞偏向數位經濟發展;丹麥與捷克偏向國家安全。
- 除了丹麥資安能力是集中的,其他三國都分散在各部會。對網路活動的監控也是一樣的情況。
- 與情報單位的關係除了丹麥是內部關係,相互間分享容易。其他三國接為外部關係。
- 丹麥的網路治理模式是集中的、分層的治理;荷蘭是共同治理;愛沙尼亞與捷克則偏向管理。
- 第二位與談人:是國防安全研究院量化分析與決策推演中心的研究員,居然有在為一些政府單位做「資安兵棋推演」!兵棋推演是一種模擬決策的方法,藉由情境中設定好的的事件來演練真實事件發生時可能的反應與決策過程和結果。當然因為資訊敏感與談人不能透漏太多,他印象最深的是很多主管剛開始推演遭遇網路攻擊都會想直接反擊回去(゚⊿゚)......這個政治責任和技術難度......哈,後來應該就學到經驗了。
- 第三位與談人:則更特殊了,以網路民防和戰爭打起來時可以怎麼動員現有網路能力為題進行分享!動員方式目前分成三類:退役軍人的後備動員、科技徵招與義工。他又舉例中國大陸在2015年戰略支援部隊成立前的確有「網路民兵」的做法,還有另外一國有類似的作為....忘了哪國了(´,_ゝ`)
- 第四位與談人:最後又回歸到人才面,台灣整體資安人力資源,大致分布依序如列,科學園區與資安產業園區、工研院與資策會等法人、政府單位資訊處室、國安單位便服網站部隊、軍事部門網站部隊。當然還有最厲害潛藏在臥的白帽高手!
軍隊有如何與產業、白帽駭客有正向的循環,軍隊能在資安人才培育上啟動作用嗎?育才後進而促進產業發展,如以色列?甚至能再回流回軍隊??第二點就算了吧。在台灣第一點好像也有點難,一來產業待遇好太多了,二來軍隊組織文化與駭客精神有所衝突。
小結
環視各國,軍隊除了保護自己軍隊的網路,有些也會協防國家的關鍵基礎設施,但在台灣關鍵基礎設施多屬民間所有,在民主國家法源依據很重要,台灣國土辦、資安處、NCC、TWCERT/CC間的權責也不是很清晰,都尚待進一步處理。或許我們也該思考一下,軍隊的存在的意義是什麼?
另外一提,治理與管理不同,安全防衛或風險管理用治理的方式真的適合嗎?
留言