美國聯邦眾議院議長裴洛西(Nancy Pelosi)訪臺後,中共對臺灣周邊發動針對性軍演,並透過駭客對臺灣重要機關網站進行網路攻擊。國防安全研究院15日表示,這次的駭客攻擊證明,使用任何中國製的電子類相關器材都具有極大風險,政府應盤點各機關的委外廠商,必要時要求限期汰換。
中共於8月4日展開實彈演習,在此之前中共駭客就已在網路空間展開「認知作戰」攻勢,光是8月1日到8月8日12時止,總計有272則爭議訊息,內容主要為打擊臺灣政府威信、擾亂軍民士氣。
境外網路攻擊 在8/2達高峰
而境外網路攻擊也在8月2日達到高峰,是單日最高攻擊量的23倍,8月4日、5日攻擊焦點則開始鎖定特定部會官網。而在網路攻擊手段中,又以壅塞方式癱瘓政府部門網站或進入網路竊取政府資料等最多,顯示阻斷式服務攻擊(DDoS)已被大量運用於網路攻擊手段。
國防部智庫「國防安全研究院」15日發表即時評析,陸軍裝甲兵上校學官廖松柏以〈中共網路戰對臺灣資訊安全的啟示與建議〉為題,分析共軍網路戰對臺灣的危害。
廖松柏表示,隨著資訊普及與網路社群媒體發展迅速,戰爭型態已和過去的實兵作戰有極大改變與突破,其中在網路空間的「認知作戰」,是最常被用來破壞社會和諧及造成群眾對立的手段;近期中共發布船艦對臺灣東海岸逼近的照片,企圖影響國軍與民心,再次突顯「網路戰」成了關鍵影響因素。
他以中共官媒央視的報導為例,裴洛西訪臺前夕,竟報導共軍「蘇愷-35」戰機穿越臺灣海峽的假訊息,意圖造成國人恐慌、對國軍戰力不信任,國防部也立即發布新聞稿及圖卡加以澄清。
廖松柏說,這期間除了「網路戰」之外,也有臺灣民眾發現,中國所生產的「華為」產品疑似出現運作停擺、癱瘓無法作用的情形,再次證明「華為」等中國生產的電子設備,存在極大的資安風險。臺灣還有多少中國製造的資訊、電子產品流通於重要設施或民間企業?值得注意與防範。
中共不斷在臺數位國土製造攻擊
他表示,中共無論藉由正規網路戰部隊,或是由非官方的駭客組職所發起的「網路攻擊」,都顯示出十足的侵略意圖與蠻橫手段,在「數位國土」裡不斷製造攻擊與衝突。
近期台電也證實,自8月2日起網路攻擊頻率增加,3日單日攻擊次數高達490萬次,已超越6、7月總攻擊次數,而且藉由網路訊息的傳散快速且沒有時空、地理限制特性,更容易造成巨大的連鎖反應。
廖松柏說,從「華為產品」事件中,更證明在臺灣的各大公共設施及私人企業,其採購、使用過的中國製造產品,都可能暴露安全隱憂,任何中國製的電子類相關器材,都具有極大的風險,政府也已積極要求各機關盤點「委外廠商及外包廠商」使用中國製資通產品,若有的話則須在期限內汰換或停用。
至於「假訊息」的應處方面,廖松柏建議,政府應持續加強辨識資訊及訊息的能力,強化民眾對「認知作戰」的訊息拒看、拒傳及多方求證的應處原則,由官方與民間共同落實「查核機制」。
政府應借重民間資安能量
而在「資訊設備」安全方面,廖松柏呼籲,應同時盤點及清查相關中國製造的資訊產品、地點及數量,除了汰換或停用之外,更應做全面性的「資安健檢」提早防範,以適應多變及無所不在的未來威脅與挑戰。
他建議,政府應借重民間的資安能量,將外部企業資訊專家人才納入支援名冊與技術體系運用,配合每年定期及不定期的舉行國家層級「網路戰攻防演練」,訂定完整攻防科目、手段。
他強調,只有從練兵、練膽及練技來出發,透過多元且完整的攻防模式,累積臺灣對「網路戰」的反制能力,並從中獲取更多寶貴經驗與對抗參數,才能強化國家的「數位韌性」及硬實力。
廖松柏強調,資安維持必須低調、紮實,沒有永遠完美的防護,只有務實及持續精進的態度。當民眾養成自發性的辨識並拒絕爭議訊息的散播接收,並藉由提升國家層級應處「資安問題」,才能在「數位國土」遭到破壞攻擊時,有能力拒止敵人侵門踏戶,防堵「網路戰」攻擊及對臺灣的破壞。
專家:政府應整合小資安公司
交通大學資訊工程系終身講座教授林一平接受《大紀元時報》採訪時表示,這次的駭客攻擊曝露許多政府與民間單位的資安防護問題,提醒大家不要以為駭客只是換換圖、沒什麼財務損失就放鬆警戒,因為根本不知道駭客已攻入哪個層級。
他表示,臺灣現在有許多規模較小的資安公司,面臨「公司找不到客戶,有需求的客戶又找不到資安公司」的困境,政府應該進行整合與媒合,提供資源給這些小資安公司做區域聯防,既幫忙企業升級資安防護,也讓資安公司獲得生存空間,這樣才有利於資安環境升級。
林一平說,過去許多外包廠商為了省錢,常會使用中國製資通訊軟、硬體,經過這次駭客事件,他認為即將成立的數位發展部應重新檢視招標程序,可外包一些經過電信技術中心(TCC)認證的資安公司,承攬這次出包公司的資安防護業務,把漏洞補起來。
不過林一平也坦言,由於現在市面上很多硬體設備都會使用中國製的晶片,無法保證絕對沒問題,而中國製軟體也不可能絕對禁止,因為很多廠商都是採用開源軟體(open source software,是種原始碼可任意取用的電腦軟體),程式碼來源就很難溯源,根本防不勝防,只能在使用前先經過認證與測試,所以才需要小的資安公司幫忙協防。◇