改變台灣的資安文化,從數位身分證開始 ── 一位資安從業人員的公開信
你知道台灣正在推行的數位身分證嗎?在未來,數位身分證將數位化國人資料加密保存在晶片卡裡,雖無法在卡體上一目了然,但存放在晶片內就真的保證安全嗎?白帽駭客又怎麼看待?從事多年資安工作的作者從自身經驗出發,希望透過公開信傳達給相關單位什麼訊息?當資安議題在民間和政府之間發酵及討論的同時,回歸到資安技術層面該怎麼盡善盡美?面對敵方國家級駭客的威脅,作者自忖,或許我們沒有不團結的本錢。
關於數位身分證(eID)的相關資安作為,國內外資安從業人員皆高度關注與關切。從一位資安技術者的角度,僅以此公開信表達個人的看法,惟與本人所屬公司無關。
一、政府應回歸資安的專業基礎,以完善的資安策略及實務規劃,回應資安疑慮
內政部近期公開之「New eID 系統相關安全性做法」,僅以三頁簡短的內容,描述其未來的資安規劃。若以業界標準檢視其內容與方向,除欠缺整體性規劃,也顯現主事單位對於敏感個資的重大系統,缺乏周詳且謹慎的資安策略。以策略面僅有的兩項規劃為例,一為稽核安全標準規範,二為推動賞金獵人的黑箱測試,兩項皆不符合資安策略的訂定高度,至多可為「確保軟體安全」的子項目。此外,縱覽現有政府公開文件,皆未提及軟體設計安全規範、風險偵測與管理辦法、資料安全及隱私保護機制、資安攻防運作機制等根本性的資安規劃,也不見 eID 系統在隱私工程上的設計規範(如:Privacy By Design)。內政部在強調「有技術把握」的同時,應對外發表以上技術根據,透過客觀數據和技術內容回應外界疑慮。
再者,從「數位身分識別證賞金獵人活動計畫草案」中提到「為解除民眾的資安疑慮...進行源碼檢測、第三方滲透測試及弱點掃描並進行修補」。就個人過去的觀察,國內公私部門偏好「優先外界觀感,資安規範先放一邊」或者「用公關稿解決資安問題」等方式面對外界疑慮。然而,與其以大眾觀感為制定資安策略的要素,政府更應該以軟體安全檢測之技術要求為執行準則。資料與系統安全的確保,是建立使用者信任的基礎,掛鉤輿論或不負責任地「偽資安」文化需要被改變,否則隨著時間推移,除不利台灣資安產業和人才的發展外,終將有利攻擊者發掘和惡用技術性弱點,進而帶來更深層的負面影響。
回到 eID 的資安議題,資安專家及學者們的疑慮,並非在短期「漏洞的數量」,而是於更長遠的資安風險。資安的建設需要持續且長期性的投入,才得以不間斷地增加攻擊者的攻擊成本。政府應回歸到資安的專業基礎上,採取嚴謹、高標準且經得起時間考驗的資安策略和作為,將國家安全及國民資料安全擺在首位。在必要時,願意妥協時程壓力、投入資源,以技術解決資安疑慮,才能更貼近社會大眾對於 eID 安全性的期望。同理,內政部應將資源運用在資安防護上的實際作為,單依賴「與民眾溝通」將無助化解資安疑慮的根本因素。
二、賞金獵人(BBP)的價值來自長期的營運,短期成效將有限,且不該是用以解除民眾疑慮的解決方案
(一)以業界實務典範(Best Practice)而言,產品在導入賞金獵人(BBP)計畫之前,需要歷經全面且具深度的資安檢測流程 。以一般美國科技企業的實務應用為例,至少需經過 Code Review、Architecture Review、Threat Modeling Review、Static Analysis、Dynamic Analysis、Penetration Testing、Red Teaming 等步驟,來確保產品安全達到一定的安全成熟級別(Security Maturity Level)。即使是不涉及敏感資訊的服務型應用程式,美國科技企業的資安團隊在產品正式上線前,往往需要投入半年至一年以上的時間,來符合和完成基本資安規範的步驟,更不論涉及大量敏感個人資訊(PII)的系統。主事單位在執行 BBP 計畫前是否確實完成了以上縱深防禦(Defense-in-depth)的流程?
(二)一般邀請制的 BBP 計畫當中,會對受邀對象進行背景的審核(Background Check),及排除受制裁國家或具有風險的國籍人員。而 eID BBP 計畫草案並無相關要求、管控和審核機制。針對 eID BBP 計畫的運作,主事單位是否有進行以惡意攻擊者為角度的風險評估?假設有受敵國政府資助的資安研究人員參與第一階段 BBP 計畫,該營運團隊將如何偵測和處置?
(三)eID BBP 計畫的第一階段僅供資安研究人員不到一個月的測試期。然而,當測試範疇涵蓋硬體、前後端應用程式、API 等項目,將需投入大量時間進行研究,才得以展現 BBP 計畫的效果。參考美國企業的作法,跨平台的範疇通常會被切成數個BBP 子計畫,例如:因為硬體安全的測試難度較高,硬體相關範疇會獨立進行兩到三個月的 BBP,其它部分則個別進行一至三個月的子計畫,待全部漏洞被修復後,才整合成一個完整範疇(Scope)的 BBP 。eID BBP 計畫要求資安研究人員在不到一個月的時間內完成整體範疇的測試,此舉除欠缺謹慎的規劃外,恐將難以達到此計畫的執行目的。
另外,一般邀請制的 BBP 計畫活躍度往往在二至三成,亦即研究人員被邀請後,只有部分參與者實際進行研究或提交漏洞。若以草稿內訂定之資格條件而言,全台灣(不含海外資安人才)符合資格的人數可能在50人以下,假設第一階段有30位資安研究人員報名,25位在研究三天後放棄,最後只有5位成功提交漏洞,此勢必挑戰計劃的有效性。另外,延續上述之時間限制,假設這5位研究人員都因為時間不足,而只專注在難度較低的「申辦區網站」漏洞,略過其它範疇的測試。在這樣的情況下,主事單位是否可以認定:「駭客沒有找到晶片漏洞,只有五個網站漏洞,所以 eID 是安全的」?從資安專業角度,此舉顯得以偏概全。
(四)綜觀美國數百個 BBP 計畫皆為長期性的 Continuous Programs,主要原因包含:(1)應用程式的程式碼在不斷被更新的同時,也將增加新安全漏洞的產生、(2)新的攻擊手法和未知的系統風險會持續出現、(3)要研究出影響範圍廣與深的安全漏洞需要投入大量的時間。個人建議主事單位對於 eID 的資安檢測進行長遠的規劃和切實的執行,並打造具韌性的系統安全及資料保護的機制,才是治標治本的解方。更期待政府能將 eID 系統視為公部門資安規範轉型的契機,建立新標竿,民眾自然會對 eID 產生信任和信心。
三、政府應在培育資安人才的同時,設立專責國家資安長主導和監督資安業務
資訊安全為日新月異的高技術領域,在國際上不斷升溫的網路衝突(Cyberconflict)和網路戰(Cyberwar)等情勢下,政府應設立專責的國家資安長,類似於美國的聯邦資安長角色,透過其專業能力及總統的授權,進行國家資安策略的策定、主導國家級兼跨部會的資安規劃、提升網路空間的防禦與攻擊能量、督導各部會首長資安業務的決策和執行,透過「具有資安專業背景的專責資安長」取代現行「形式上的兼任資安長」,以落實「資安等於國安」的國家關鍵戰略。
根據現階段《資通安全管理法》第二章規定「公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務」。以 eID 主管機關內政部而言,其次長兼任資安長,惟內政部政務次長在近日回應立法院內政委員會的 eID 議題時表示「現外界很多說法,但尚無法證明相關疑慮真會發生,政府對此政策有技術把握」。主事單位的資安首長以上述邏輯和態度面對 eID 的資安建設,顯現其資安專業素養的匱乏,也將無疑加深疑慮。
國內外業界的資安團隊,繆力投入大量的資源和時間成本,來提高產品和系統的安全性,並增加攻擊者的困難度、減少攻擊的影響程度,然而,包含資安業者在內,無一單位能因此保證不被攻擊或入侵。資安攻防是進行式且持續性的工作,資安團隊存在的價值在於主動找出及應對「不知之不知(Unknown Unknown)」的安全漏洞或風險,當資安事件發生的時候,適時啟動準備完善的偵測、防禦及響應機制,降低對公司或客戶產生的負面風險 ── 防範未然與危機處理是資安團隊的基本功能與價值。尚待疑慮被證明才為之,是不正確且不負責的資安觀念。綜上,任命有實戰經驗的專責資安首長也因此顯得必要且迫切。
以上拙見,望請參考。
作為資安從業人員,我們深切希望與政府一同努力,正向改變台灣的資安文化及環境。也期盼政府秉持資安規範要求,用最高標準為國民的資料暨隱私安全做把關。
我們相信,面對國家級駭客的威脅,資安沒有妥協空間。
陳浩維(台灣駭客協會理事)
2021年1月8日
認識本文作者:HW Chen
台灣駭客協會理事、NEX Foundation 創辦人,資深海外漂流遊子,總是將熱血當作生活燃料的行動派男子。個人網站 https://hacker.info 。
執行編輯:I Cheng Huang
核稿編輯:Sophia Cheng
《NEX媒體實驗室》為NEX Foundation台灣未來基金會提供給讀者與作者的意見交流平台,所有言論不代表NEX媒體實驗室與NEX Foundation台灣未來基金會立場。本文章內容僅反映作者個人意見,並經作者保證文章內容並未侵犯任何人之權利或違反相關法令。