唐鳳:布建「零信任架構」、不斷網系統 擊退中共駭客及假消息攻擊
文/VOA林柏宏
台海局勢自美眾議院議長裴洛西8月訪台後速升級,中共除了對台發動軍演,還對其政府及民間網站進行大量網攻。為了抵抗境外大規模網軍,台灣成立數位發展部加強資安防禦,而數發部首任部長唐鳳在上任將屆滿3個月之際接受美國之音專訪,強調未來將布建「零信任」網路及中、低軌衛星設備,堅持數位韌性理念阻駭客入侵,並確保台灣遇重大災害時,通訊仍暢通無阻。
美國軟體巨擘微軟公司(Microsoft)於11月公佈年度數位防禦報告(Microsoft Digital Defence Report 2022),直指中國加強了情搜行動和竊取資訊的網路攻擊,主要鎖定美國、台灣等5個國家。
不過,在微軟發佈報告約3個月前,台灣上至政府機關、下至民間企業,早已感受到來自中共相關團體在雲端上的猛烈炮火;在美國眾議院議長佩洛西(Nancy Pelosi)今年8月初旋風訪台前後,台灣不僅便利超商、鐵路車站等電子看板遭境外網軍入侵,就連外交部、國防部,甚至總統府等數個中央及地方政府官網也遭「阻斷服務攻擊」(DDos),也就是惡意放大流量資料請求,使目標伺服器或網路資源耗盡,以干擾系統運作的方式,導致網站一度無法正常顯示。台灣電力公司當時表示,在8月3日佩洛西訪問當天,受到的駭客攻擊次數高達490萬次,「超越過去兩個月的總和」。
在中國網軍加大對台灣威脅同時,肩負建構全民數位韌性以應對資安挑戰的台灣數位發展部(以下簡稱:數發部),就在這樣的背景下,於今年8月27日掛牌成立。數發部第一任部長、也是台灣首位跨性別閣員唐鳳,於8月初數發部網站剛成立之際對媒體表示,該網站採用新的Web3架構,並未受到境外網軍干擾,「一秒鐘都沒卡住過」。
如今,數發部網站已正式上線超過一百天,然而唐鳳在接受美國之音專訪時仍自豪表示,網站運作依舊一切正常,「不但是沒有卡住過、也沒有被竄改等等」;而上任將屆滿3個月的唐鳳,也透過這場訪問,暢談數發部對提升台灣資安的實質計畫及未來願景。
無懼中國網軍威脅 唐鳳:免費「紅隊」測試
唐鳳在訪談開始不到5分鐘,就先針對數發網的架構設計詳加說明,她說:「Web 3的架構有個特色,就是任何人都可以來幫我們。任何人只要在電腦上面裝了IPFS(星際檔案系統)的軟體、或IPFS的流覽器,他就可以幫助我們備份我們的網站,他只要稍微按個‘pin’(指釘選),就等於看了之後不但加入書簽,而且存一個離線的備份在自己的電腦裡。」
唐鳳口中所說的星際檔案系統,是Web3的重要基礎設施,具有去中心化及安全等優點。而談到佩洛西訪台時大批中共相關團體網軍的攻擊,唐鳳則笑稱這仿佛是自己送上門的‘紅隊’測試,也就是免付費的模擬入侵網攻訓練。唐鳳正面迎戰網軍也帶來收穫,讓台灣其他部門爭相探究數發部的資安維護能力。
唐鳳說:「我們的設計本來就是韌性,要因應這樣子資安的挑戰,我們本來也是要安排像‘紅隊’測試等等,讓我們在地的這一些團隊,能夠試著打我們的這個架構看看,結果我們也不用付錢,有‘免費’的‘紅隊’測試,開始這樣DDos(阻斷服務攻擊)…。而且,我們增進這樣子能力的過程,不管是(台灣)外交部、國防部,甚至總統府等等的同仁,就覺得很好奇,為什麼我們這邊(網軍)打不到,他們很想要學習。」
台政府廣推「零信任架構」
唐鳳進一步表示,由於目前看來數發網能有效抵抗網軍入侵,因此雖然網站由他跟其他同仁一起發想、建構,但會以拋棄其 「著作權」,讓台灣各大政府官網未來也能採用同樣架構。
唐鳳說:「可能關鍵基礎設施、重要的政府部會,兩年之內就要用我們的所謂的‘零信任架構’,Zero Trust Architecture,這個就是設備、連線,身份的三重驗證,這樣子的話,即使駭客破解系統管理員的密碼,他也沒有辦法同時破解設備、或者是連線,或者身份層的其他層,這樣子就可以達到,即使駭客攻破其中一個部分,其他部分還是可以起到聯防的效果。」
據以色列資安大廠CyberArk資料,‘零信任架構’是產業分析師金德瓦格(John Kindervag)2010年所創造的名詞,強調「絕不信任,必須驗證」的概念,目標是降低大多數組織在現代環境下遭受網攻的風險,目前包含Google等大型企業已建構自己的「零信任」模型。
斷網系統確保戰時、天災通訊
然而,台灣數發部除了預計在兩年內,讓全台重要政府系統採用‘零信任架構’之外,唐鳳也在先前接受華盛頓郵報專訪時表示,台灣正建立不斷網系統,以避免民眾在災難發生時遭受假訊息的擾亂。
根據瑞典哥德堡大學主持的跨國學術調查V-Dem計畫,台灣自2013年起,連續9年蟬聯全球遭受境外假訊息侵擾最嚴重的國家。哥德堡大學林柏格(Staffan I.Lindberg)更曾說,合理懷疑中國是以假訊息攻擊台灣的「主嫌」。也因此,防堵虛假消息散播,對台灣來說至關重要。
針對未來的不斷網系統計畫,唐鳳強調,這是參考烏克蘭在對抗俄羅斯入侵時,藉由總統弗拉基米爾·澤連斯基(Volodymyr Zelenskyy)每日演說、以及當地英語媒體即時傳播當地最新情況,因此希望確保台灣遇到戰事或重大天然災害時,也能像烏克蘭一樣,向國內及國際無延遲發送當下情勢與災情。
唐鳳說:「(烏克蘭)這樣子(對外傳播),就讓基輔(烏克蘭首都)的情況就沒有亂掉,所以我們跟烏克蘭的經驗學習,就是要達到全民的數位韌性,碰到這些不利情況的時候,不但我們要確保新聞工作者有充足的頻寬,也包含其他的應變,包含醫療、避難等等的這些工作者(能及時傳遞訊息),所以我們會在接下來兩年我們在國內挑700個點、國外有3個點,去建立這種中軌道和低軌道非同步衛星的接收站。」
烏克蘭在俄烏戰中,就是藉由特斯拉(Tesla)創辦人埃隆·馬斯克(Elon Musk)的SpaceX低軌衛星網路」星鏈」(Starlink),迅速恢復了與關鍵地區的通訊連結。
「本地雲」、避獨家合作強化資安
針對開放商用衛星通訊頻率,台灣數位發展部已於今年11月8日受理申請,並表示歡迎與符合法規的業者進行合作。然而,台灣各界引頸期盼能儘快引入的SpaceX,其創始人馬斯克先前的一番政治言論,卻讓當地大部分人士相當感冒。
馬斯克稍早在接受《金融時報》(Financial Times)訪問時表示, 中國和台灣之間的緊張關係,可以通過將台灣的部分控制權移交給北京來解決。馬斯克此話一出,隨即引起評論人士批評,他對台灣問題和中國當局缺乏認識。台灣外長吳釗燮則說,馬斯克的言論與北京想法完全一樣,「這是中國的提議…台灣人對這沒興趣」。
不過,唐鳳並不認為符合申請衛星執照要件、政治傾向卻較親中的國際衛星業者有能力危害台灣資安。唐鳳指出,在商用衛星執照申請上,有董事長應具有中華民國國籍、外資直接持股不得超過 49%,中資不得涉入等法規限制,相關規範已讓資訊獲得相對應的保障。另外,台灣也將避免只與一家衛星廠商獨家合作,不把雞蛋放同在同一籃子裡,且大型公有雲公司也已相繼在台布建資料中心,這些做法應能避免資安風險升高。
唐鳳說:「對一個資安的攻擊者來講,你要同時熟悉這麼多個‘Tech Stack’(技術堆疊,指指掌握這些技術以及配合使用的經驗),而且要一次把它全部拿下來,這個難度是非常高的,但是如果他們(指網軍)知道說,我們就只會跟某家獨家合作,那他們花個幾年去研究這一家,那說不定有機會。
(另外Google、亞馬遜和微軟)三大公有雲,他們都表達不但是資料是在台灣運算,而且他們也承諾,跟我們的在地的服務的公司合作,那就是只用具有我國國籍的人士,所以就不但是管理者、以及他落地的(公司),這兩個都要能夠扣合我們這種‘本地雲’(指確保資料由可信任的業者在本地資料中心儲存、運作)的架構內,(這樣)這個跨國的管理層言論之類,就跟資安要求(的)關係就比較不大。 」
數發部一年內目標: 「台灣製造,信任可靠」
雖然唐鳳在專訪中細談數發部許多計畫,但她也說,至今仍不忘創立數發部的初心,也很開心初衷受到外界肯定。唐鳳說:「數位部的初心,就是數位韌性,Digital Resilience,對於面對各種自然或者人為的災害,要能夠隨時回應,而且在回應當中、打擊當中成長,這樣的期待,那我覺得很幸運,就是我們剛開張,就收到可能四五千份履歷。也就是說,不管是公務機關還是民間的朋友,都很認同我們這個創業的初心、這個初衷,這個願景。」
在專訪進入尾聲同時,唐鳳也透露數發部未來一年的目標,除了將全面推動零信任架構、強化各個產業的資安之外,還將持續促進台灣在半導體的全球領先地位,藉由推動晶片安全檢測能量,接軌國際標準,希望將台灣製造(Made In Taiwan)與誠信製造(Made In Trustworthiness),作最完美結合。
唐鳳說:「我們率先去建立‘晶片安全聯合檢測實驗室’,所以是整個chip(晶片)相關的流程,包含它的軟體、硬體服務等等,都有這個合規的方法,所以我們也是把這樣子的規格,跟國外的朋友分享,希望能夠達到交互認證。所以一句話,我們希望在接下來一年裡面,大家看到‘MIT’,‘Made In Taiwan’的這些產品、服務,晶片等等,這個‘T’不是只是台灣。也是‘Trustworthiness’,就是值得信任,‘台灣製造,信任可靠’」。
連結:VOA专访台湾数发部长唐凤:布建“零信任架构”、不断网系统 击退中共骇客及假消息攻击 (voachinese.com)
