王仁甫/台灣駭客協會(HITCON)理事
圖片來源:Pixabay
壹、問題意識
2015年中共成立戰略支援部隊,透過網路駭侵台灣,舉例來說2020年5月中共支持的駭客組織APT 41攻擊台灣中油等8家公司後,同年9月美國法院對此駭客組織提出控告,指出其攻擊多國政府與企業 ,再再顯示出台灣身處印太資安區域聯防的前線,而擁有最新及最多的境外敵對勢力的網路駭侵漏洞、病毒及相關攻擊腳本,若台灣能加入全球相關資安組織,將為資安聯防作出巨大貢獻。
本文將研析先進國家資安外交發展策略,及審視我國參與國際資安組織所面臨的困境,提出運用民間組織與企業力量,加入全球資安組織的相關政策建議。
。
一、先進國家的資安外交發展策略
(一)美國的資安外交發展策略
2012年至2018年美國的資安外交發展策略,聚焦於建立全球聯防機制,強化全球網路安全韌性,例如2012年國家標準暨技術研究院(National Institute of Standards and Technology,簡寫為NIST)成立國家資訊安全卓越中心(National Cybersecurity Center of Excellence),推動跨國資安機構的合作,以推廣網路安全實踐指南,促進跨國間資安產、官、學專家及研究人員間的交流。
2018年美國發布《國家網路戰略》清楚呈現網路戰略藍圖,揭示主要的網路威脅源自中國、俄羅斯等國[2],故需要建立雙邊或多邊的網路安全的合作與交流,如支援開發中國家發展資安技術,確保網路自由的價值。
2020年,美國NIST建構新的資安風險框架[3],並協助將「六大乾淨網路(The Clean Network)」計畫及5G資安宣言,推至美國友邦,建構從資安源頭管控的機制,目的為保護公民隱私與企業機敏資料,減緩受中共及俄羅斯等國的網路攻擊災害。
1. 乾淨電信營運商(Clean Carrier):確保美國電信網路未連接不信任國家的電信營運商(如中、俄)。
2. 乾淨應用程式商店(Clean Store):從美國行動應用程式商店刪除不受信任的應用程式。
3. 乾淨應用程式(Clean Apps):防止不信任國家的智慧手機製造商在其應用程式商店中預先安裝,或以其他方式供人下載,如應從華為的應用程式商店中刪除其應用程式[4]。
4. 乾淨雲端(Clean Cloud):避免使用不信任國家的雲端服務,阻斷美國公民敏感的個人資料及企業智慧財產權外流。
5. 乾淨電纜(Clean Cable):確保美國連接到全球網路的海底纜線不會直接連接不信任國家,以降低遭受中、俄等國利用此電纜連結,直接進行大規模情蒐或網攻。
6. 乾淨路徑(Clean Path):所有美國外交機構的5G網路流量都需要經由乾淨路徑進入和離開,即不使用任何不受信賴的IT廠商(如禁止中國的華為即中興)的傳輸、控制、計算或存儲設備。
(二)歐盟的資安外交發展策略
2016年起歐洲聯盟(EU)積極推動跨會員國[5]、跨他國或組織的資安技術合作,如同年其與北約簽署《網路防禦技術安排》合作;同時,歐盟電腦緊急應變小組(Computer Emergency Response Team for the EU,CERT-EU)也與美國的國家刑事情報資源中心(National Criminal Intelligence Resource Center, NCIRC)進行技術上的交流,以預防及應對網路攻擊。
2017年後歐盟各成員國各自提出網路安全戰略,鼓勵歐盟成員國還指派資安大使、特使或代表的制度,以起草與網路防禦相關的細項戰略(詳見圖 1)。
圖 1、 歐洲地區具備網路戰略與任命資訊安全大使、特使或代表的國家
資料來源:歐洲議會研究服務處、王仁甫等資策會資安所團隊(2020),六大核心戰略產業與策略研究期末報告,科技會報辦公室委託
2018年歐盟提出《網路防禦承諾(Cyber Defense Pledge)》,以建構會員國間的網路防禦體系,於比利時建立一個網際空間維運中心(Cyberspace Operations Centre),以協調北約及美國[6]等國在網路空間內的安全維運,提供攻擊情資,以阻斷、防禦和回應各種網路威脅。
但由於歐盟所遭受網路攻擊逐漸加大,亟需提升資安事件應變聯防體系效能,故2021年宣布於數位歐洲計畫(Digital Europe Programme)中提撥資金,挹注歐盟網路安全局(European Union Agency for Cybersecurity, ENISA)布魯塞爾分支設立聯合網路單位(Joint Cyber Unit),協調現有歐盟員國間的資安緊急應變組織,以應變大規模的跨國資安事件,並擬定聯合應變計畫[7]。
(三) 日本的資安外交發展策略
2014年日本修訂網路安全基本法,並將資安外交入法,以提出資安外交策略,建立雙邊及多邊資安對話(圖 2);2017年日本內閣網路安全中心報告指出,資安外交領域的推動模式分為三個模式:
1. 參與全球研討:參與聯合國資安專家等會議,研擬資安規範、分享前瞻資安知識及參與關鍵基礎設施相關委員會議,以連結全球資安分享體系。
2. 建立雙邊會談:2012年起日本與英國、歐盟、美國與北約等國家或組織啟動資安雙邊對話(表 1)。
3. 資安區域合作:參與日本與東協的資安政策委員會,建立、維護和完備資安聯防體系。
2019 年起日本將資安雙邊合作,由情資分享提升至作戰聯防體系,如該年美日於安全磋商委員會上,確認路攻擊適用於《美日安保條約》第5條,雙方強調實體及網路空間是盟軍跨領域作戰的關鍵,加強於「威懾與應變方面」合作。
2021年起日本擴大資安雙邊至多邊合作,如同年12月日本召開網路安全戰略總部會議,宣布與東協合作,參與網路戰演練,以強化對印太區域國家電力與通訊系統的資安韌性,並為東協政府人員開設資安課程,傳授相關資安知識[8]。
圖 2 日本國際網路外交總覽
資料來源:EU Cyber DIRECT、王仁甫等資策會資安所團隊(2020),六大核心戰略產業與策略研究期末報告,科技會報辦公室委託
表 1、日本的網路外交(合作區域)
資料來源:EU Cyber DIRECT、王仁甫等資策會資安所團隊(2020),六大核心戰略產業與策略研究期末報告,科技會報辦公室委託
二、重要的國際資安組織
(一) 重要的官方資安組織
1. 資安聯防組織
國際上有許多官方的資安聯防組織,其中又以北約(NATO)最為重要,主因其是民主國家對抗獨裁政權的資安聯防前線,如2008年北約設立網絡防禦合作卓越中心(Cooperative Cyber Defence Centre of Excellence,簡稱CCDCoE)[9],促進會員國間的資安聯防,主要貢獻如下:
塔林手冊2.0:召集各會員國的資安政策與法律專家研究並定義網路戰的國際法地位,及平時和戰時轉移等規範。
鎖盾(Locked Shields)攻防演練:每年春季CCDCoE都會舉辦跨會員國間的網路攻防演練,以模擬國家級網路攻擊,強化各國資安團隊於關鍵基礎設施的資安防禦技術。
國際會議(Cyber Conference, CyCon):每年CyCon召集約50國的政府、軍方、學界與產業代表,從資安技術、法律、政策、戰略與軍事的面向探討網路防護與安全議題。
2. 資安標準組織
1998年美、加、法、德、英等國成立資安共同準則相互承認組織(Common Criteria Recognition Agreement,CCRA),並建立資安評估共通準則(Common Criteria),於隔年正式成為ISO國際標準(ISO/IEC 15408),經第三方實驗室驗證後,各會員國將採納此資安認證。
(二) 重要的國際民間資安組織
大多數的國際民間資安組織,均與資安產業推廣活動有關,故較無外交影響力;另外,少數的國際民間資安組織,又以國際駭客社群最有影響力,例如1993年全球駭客成立最大的年會DEFCON[10],而開啟超過26年的全球駭客聚會,參加此四天活動約需要280元美金,至2019年全球超過3萬名駭客或資安專家參與了DEFCON 第26屆活動[11]。
DEF CON CTF是此年會中最重要的競賽活動,於1996年第四屆的資安年會DEFCON開始舉辦搶旗賽[12],由裁判決定攻防得分,2004年以後的主軸,發現系統的資安問題並修補,並依此資安問題攻擊其他隊伍得分;參與團隊須先取得決賽資格[13],再進入全球競賽,若獲得全球第一名可獲取黑色紋章(Black Badge),讓獲獎成員擁有DEFCON的終生免費參會權。
2007年起我國的台灣駭客協會(HITCON)及CHROOT開始參加全球駭客搶旗攻防賽DEF CON CTF,於2009年CHROOT與行政院國家資通安全會報技術服務中心(以下簡稱 :技服中心)合作[14],參與了兩屆全球駭客大賽DEF CON CTF比賽,雖然於比賽中有進步,但最終仍未進入決賽。
2014年HITCON戰隊組成[15]的強化與創新默契的形成,獲得全球第二名,一鳴驚人;2015年及2016年HITCON戰隊於全球駭客搶旗攻防賽DEF CON CTF均獲得殿軍,隔年2017年至2019年分別獲得該競賽亞軍、季軍與亞軍,均獲得總統接見,並獲得全球肯定[16]。其中,2019年HITCON戰隊除了獲得全球第二名榮耀外,重要的是該團隊加入AIS3計畫[17]所培育的新生代戰隊BFKinesiS,展現出HITCON戰隊經驗傳承的效益。
三 我國參與國際資安組織所面臨的困境
2015年臺美簽署全球合作暨訓練架構(GCTF)備忘錄[18],以落實臺美「重要安全暨經濟夥伴」關係,希望臺灣藉此平台進行資訊安全交流,協助區域國家建構資安能力,並加強多邊資安合作。
2016年起政府大力推動「資安即國安戰略」,將我國資安的雙邊合作,由交流深化為務實合作,如2019年起臺美首度合作大規模網路攻防演練(Cyber Offensive and Defensive Exercises, CODE),邀請15國資安團隊擬真攻擊我國政府網路,測試我國資安防護團隊能力,以強化政府關鍵基礎設施的資安量能[19]。
2021年政府宣布將成立數位發展部資安署,推動「資安即國安戰略2.0」,預計設立資安研究院資安卓越中心(CCoE),進行資安的前瞻研究、人才培育與國際合作[20]。
我國政府雖不斷的推動資安雙邊及多邊外交,但在中共的百般阻撓下,而難以加入官方資安聯防組織,仍面臨以下困難:
(一) 我國無法加入官方的資安聯防組織
我國難以加入官方的資安聯防組織,如難以成為北約網絡防禦合作卓越中心(Cooperative Cyber Defence Centre of Excellence,簡稱CCDCoE)的觀察員,而無法與北約國家進行資安聯防。
(二) 我國無法加入資安共同準則相互承認組織
我國因中共的政治干預,而難以加入資安共同準則相互承認組織(CCRA),而無法獲得CCRA的會員國(約25個)承認,難以達成臺灣一次驗證、全球通關的理想[21]。
(三) 我國資安相關法規未完備,難以與國際接軌
2005年APEC已制定跨境隱私規則(Cross-Border Privacy Rules, CBPR)允許「一致而非相同」的隱私保護機制[22],以接軌歐盟的GDPR制度。反觀,我國雖已參此規則,但我國個資法因缺乏個資與隱私保護專責機關,而難以接軌APEC及歐盟等相關規範。
貳、具體主張與政策建議
綜合上述國內外資安外交政策分析,本文針對資安多邊合作等議題,提出數點具體主張如下:
(一)設立資安大使職位推動多邊合作
目前,歐盟已有12國設置資安大使職位[23],顯示該職位對於資安外交推動有顯著的影響,故建議我國設立資安大使的職位,以參與國際網路安全對話,乃至於參與相關規範制定;或者,臺灣能夠考慮以第一線對抗中國網路戰與訊息戰的身分,透過資安大使分享對抗經驗,並建立國際信任與話語權。
(二)積極加入亞太經合會(APEC)的資安活動推動多邊合作
我國應積極參與亞太經合會(APEC)電信和資訊工作小組 (TEL)所舉辦的多邊資安合作會議,建立常態及制度化的資安聯防機制,以參與亞太區域的資安法規及標準的訂定,例如我國可以參與及審酌APEC的跨境傳輸個人資料的政策和程序,建請國發會修正個資法,符合跨境傳輸責任和實行成效等目標,以完備我國隱私權保障體系。
(三)善用民間力量,突破資安外交困境
政府應協助建構良好的資通安全發展環境,在市場、技術與人才上有激勵措施,建立半官方組織,推動國際合作平台,善用產業協會力量,參與資安標準制定,及補助國內駭客協會,建立國際級資安攻防場域。
1. 政府與民間合作搭建半官方組織,爭取成為全球資安官方聯防組織觀察員
2021年政府宣布將成立數位發展部資安署,將設立資安研究院資安卓越中心(CCoE),建議CCoE要善用民間力量,搭建半官方組織,如補助駭客相關協會,組成專家團連結北約網絡防禦合作卓越中心(Cooperative Cyber Defence Centre of Excellence,簡稱CCDCoE),爭取成為鎖盾(Locked Shields)攻防演練之觀察員。
同時,也建議CCoE邀請印太國家參與台美所舉辦的大規模網路攻防演練,以戰代訓培育資安人才,深化印太資安情資分享及合作機制,落實「資安即國安戰略2.0」。
2. 善用產業協會力量,參與資安標準制定
我國因中共的政治干預,而難以加入資安產業組織,而無法參與產業資安標準制定,如前文所述:我國無法成為共同準則相互承認組織(CCRA)會員國,無法參與資安評估共通準則(Common Criteria)修訂及認驗證。
就此,建議政府善用民間產業協會力量,參與國際資安標準制定,例如2018年國際半導體產業協會(SEMI)邀請台積電與工研院共同成立資安工作小組 (Fab & Equipment Information Security Task Force),召集半導體上下游供應鏈及資安產業,共同制定半導體產線設備資安標準規範(SEMI E187),於2022年1月官網公告,成為政府善用民間力量,制定產業資安標準的典範[24]。
未來,政府也應持續善用民間產業協會力量,推動資安產業標準國際接軌,如Semi半導體資安標準、物聯網標準(無人機、民生物聯網等)與智慧製造資安標準。
3. 補助國內駭客協會,建立國際級資安攻防場域
我國的台灣駭客協會(HITCON)參加全球駭客搶旗攻防賽DEF CON CTF,屢獲佳績度,且每年所舉辦的HITCON年會也吸引全球駭客參與,已經具備全球知名度。
故建議CCoE邀請HITCON等駭客協會,共同建構的國際級資安培訓場域,進行跨國資安演練,從雙邊資安固邦至多邊資安聯防進行合作,提升我國在網際空間的聯防能力,創造屬於台灣的資安外交模式。
[1]此次受駭公司散布臺灣、新加坡、馬、日、韓、泰、越及印度等國;詳見林妍溱(2020),美控告5名APT41駭客成員,對多國政府、企業發動攻擊,iThome:https://www.ithome.com.tw/news/140035(最後查詢日:2021年12月6日) [2] 其他如伊朗、北韓與其他非國家行為的駭客組織。 [3] 美國商務部匡列74.2億美元的預算,推動資安識別、保護、偵測、回應與復原等五大項目。 [4] 黃彥棻(2021),美國乾淨網路政策新進度!美政府下令,中國電信必須在年底前終止在美國一切業務,iThome。資料來源:https://www.ithome.com.tw/news/147498 [5] 如2017年10月,歐盟成員國開始採用歐盟網路外交工具箱(cyber diplomacy toolbox),即歐盟應對惡意網路活動的聯合外交框架的實施指南。 [6] 如歐盟與美國聯合部隊司令部Norfolk連結與合作,以保護跨大西洋的通訊網路。 [7] 詳見:行政院國家資通安全會報技術服務中心(2021),歐盟規劃成立聯合網路機構以應對大規模資安事件,https://www.nccst.nat.gov.tw/NewsRSSDetail?seq=16574 [8] 青年日報社(2021),日將支援印太國家力抗俄「中」網攻,yahoo新聞:https://tw.news.yahoo.com/%E6%97%A5%E5%B0%87%E6%94%AF%E6%8F%B4%E5%8D%B0%E5%A4%AA%E5%9C%8B%E5%AE%B6-%E5%8A%9B%E6%8A%97%E4%BF%84-%E4%B8%AD-%E7%B6%B2%E6%94%BB-160000569.html?guce_referrer=aHR0cHM6Ly93d3cuZ29vZ2xlLmNvbS8&guce_referrer_sig=AQAAAHnfAHkBL0OGoDWHCaeoZuDZ5m9nBfV2muovvSpcPK4bf_8smGyJYqaxKc3VTKdfMDwHboQFut8fEcO-zqTN45jeDm-Bh7di6mSuFSv6LWx0b-hj3tFK-hJxn8q4c27lOKcRIttnByftNQNPdZnmtcdEShMxcqdD256_BSt-vUmk [9] 詳見NATO CCDCoE官方網站:https://ccdcoe.org/about-us/ [10] 此組織源自於創辦人Jeff Moss對好友的送別會,而邀請他駭客朋友,一起參加美國拉斯維加斯聚會,其中「DEFCON」名子源自電影戰爭遊戲(WarGames, 1983)的美國國家防衛等級(DEFCON),此活動是全球規模最大的資安駭客競賽,歷史悠久享譽盛名,可說是高階資安CTF競賽的「世界盃」。 [11] Black hat 屬於商務與專業型資安人員參加,而DEFCON屬於駭客成員的交流聚會。 [12] CTF有三種模式,包含解題模式(Jeopardy)、攻防模式(Attack-Defense)及混合模式(Mix)。 [13] 決賽權獲得的方式有兩種,第一種是當年決賽冠軍可直接進入隔年競賽決賽,或透過參加各國舉辦的區域駭客競賽,取得第一名時獲得全球競賽的決賽權,而成為種子隊;另一種模式是參與全球線上初賽,若排名於決賽總需要名次內,則可以進到全球競賽。 [14] 由CHROOT團隊中的技服中心成員促成合作關係。 [15] 如戰隊吸引了台大217等戰隊及各大學菁英成員共十多位,成員包含台大電機、台大資工、台科大資管、交大資工、中央資工等大學學生。 [16] HITCON戰隊其他重要戰績如下: (1)馬來西亞HITB CTF 2014亞軍 (2)韓國Codegate 2015亞軍 (3)日本東京SECCON CTF FINAL 2015年亞軍/2016年亞軍 (4)中國百度盃(BCTF) 2014年冠軍/2015年冠軍 (5)中國0CTF 2015 冠軍/2017年冠軍 (6)中國XCTF 2015冠軍 (7)中國WCTF 2017 冠軍 (8)美國Boston Key Party 2015年亞軍/2016年冠軍/2017年冠軍 [17] AIS3計畫個案將於下章節第二階段訪談說明。 [18] 詳見:外交部(2015),臺美簽署「全球合作暨訓練架構」瞭解備忘錄,外交部新聞稿,網址:https://www.mofa.gov.tw/News_Content.aspx?n=8742DCE7A2A28761&s=62A74613D1A84F65 [19] 詳見報導:https://www.cna.com.tw/news/firstnews/201909220019.aspx [20] 羅正漢(2021),打造臺灣資安前瞻研究與人才培育重鎮,資安卓越中心現正招募百位技術與研究人才,iThome:https://www.ithome.com.tw/news/146249(最後查詢日:2021年12月6日) [21] 詳見黃彥棻(2008),認識IT採購的安全認證Common Criteria,iThome;網址:https://www.ithome.com.tw/tech/47886 [22] 詳見https://thelawreviews.co.uk/title/the-privacy-data-protection-and-cybersecurity-law-review/apec-overview。 [23] 舉例而言,愛沙尼亞與英國的資安大使分別隸屬於外交部與國貿部;前者主責雙邊、多邊關係以及與國際組織的對接、合作;後者的任務則是相當程度側重於協助資安產業輸出海外。 [24] 詳見:SEMI半導體資安標準,經濟部工業局ACW網站:https://www.acw.org.tw/Certification/Default.aspx?subID=48。