中國資訊戰騷擾也許是數位升級的絕佳契機
2022-10-18台灣必須從價值鏈底部開始發展資安能力,且軍方所需人才資源,在私營企業應該也很有用。強化資安過程會經歷好幾個階段,無論哪個領域進步,最後都有助提升國家實力。
美國眾議院議長裴洛西(Nancy Patricia Pelosi)8月訪台後,中國發動攻擊威脅台灣與盟友,發射導彈穿越台北上空,並在台灣周圍海域進行軍事演習,但這些行動都離台灣人民生活相當遙遠,因此中國也同時騷擾台灣政府網站、銀行等各種基礎建設網絡,試圖給台灣政府下馬威。
不久的未來,這種「灰色地帶」攻擊會越來越常見,且越來越激烈。一般說這類騷擾都只是中國看台灣政治傾向不爽,並非真要吞併。靠灰色地帶騷擾協助軍事吞併,主要方法就是聲東擊西,必須一邊騷擾一邊準備兵力入侵。但入侵兵力需求實在太大,所以資源很可能無法持久。
當然,房裡的人可能真的在密謀什麼,至少目前的網路攻擊都不是真要破壞社會或軍隊,只是做做樣子打擊台灣士氣,讓民眾相信中國能攻擊更多。如果全面入侵夠划算,中國就會真的動手,所以台灣不該繼續被動應變,而是利用中國騷擾機會,解決系統安全問題。諸多有待改善的目標中,資安是很有賺頭的領域,只是實際發展資安前,台灣得先決定要解決什麼問題。
從程式寫法開始
當然說得簡單,做起來難。網路時代「資安」幾乎涵蓋所有層面。一般人討論資安時,通常都想抄捷徑,把手段跟目標混為一談,講到防治網路釣魚或保護個資等去。且資安層面真的太廣,要真正找出重點,也許直接扔掉這詞較好,從其他地方開始反而實在。
不懂程式的人談資安,都很容易想到演算法。演算法的確是計算機科學核心,是軟體公司徵才時的基本能力;且演算法和資安密碼學也有很多重疊處,但現實的資安破口,大概都離演算法十萬八千里遠。
要了解這件事,可看程式語言歷史如何發展。計算機科學演進史,安全越來越重要,第一隻電腦病毒出現5年後,Python於1991年問世,設計理念是「與其事先報備,不如事後道歉」(Better to ask for forgiveness than permission),試圖解決C語言這類老舊程式語言既難用又不安全的問題。當然Python越來越普及後,這種設計理念的缺陷也越來越明顯,只要有點法律背景的人,大概都能一眼看出問題在哪。
近年來出現一些程式語言以相反理念設計,最近很紅的叫Rust。Rust設計觀念最重要的就是防錯管理(Error Management),要管理「錯誤」,其實就是不是寫給機器跑,而是寫給設計師、其他部門的人,甚至終端使用者看的註解字串。
光這例子就知道,軟體開發有很多問題不只程式問題,而是組織管理問題。即使完全不懂程式,也不用對資安退避三舍,可從這些層面檢查使用與管理軟體的方式會產生哪些安全漏洞。
認識入侵者
大部分程式錯誤最多只會拖慢程式,只有小部分成為資安破口,所以從國家角度看,改善資安的第一要務,就是打造健全軟體產業。自己能生產安全軟體後,也就更知道如何正確使用外部軟體,因無論什麼組織,平常用的軟體大部分都是從外面買來,大部分破口也都來自外部軟體。大多數公司只要了解需要什麼資安環境,都能直接買到產業頂尖軟體業製作的系統,儲存密碼之類敏感資料。只要軟體業更蓬勃,勢必能改善台灣依賴過時軟體和危險作業系統的問題。
當然,台灣最終目標並非軟體開發,而是抵禦國家級攻擊。所以不能只靠程式設計,而是得從公開來源情報(OSINT)解決問題。這領域相當廣泛,守護資安的方法就是蒐證偵緝,了解潛在入侵者面貌,盡量建立完整威脅模型。
《網路戰兵法》(The Art of Cyberwarfare)作者Jon DiMaggio某次受訪指出分類入侵者的重要性。「高級威脅的主要特徵,就是入侵者目標都相當明確。入侵孟加拉銀行前,北韓花了一整年時間準備,然後才發動假交易。一整年!你平常看到的網路犯罪或機器騷擾,別說準備一年,大概連準備一天都不願意吧!」
DiMaggio認為,這種高級威脅不會消失。「即使他們駭不進你的網路,也會有其他破壞。這種攻擊一定會同時設定好幾個目標。只要面臨某個高級威脅,就一定會同時受到好幾種攻擊。」這類威脅除了瞄準組織,也會同時攻擊個人,所以必須先了解敵軍意圖才能回應。
一國情報能力(Intelligence)就跟人的智力(Intelligence)一樣有很多層面。民間與軍方情報能力往往相輔相成,與其他國家建立情報共享協定也有用。除此之外,「公開情報來源」領域快速發展,有很多功能如強制執行等都與民間有關,私人公司也能有貢獻。在這領域工作,需要強大邏輯能力和豐富軟體生態系知識,但工作方式與單純軟體開發大異其趣。台灣可發展這方面資安防護能力,並化為巨大商機,畢竟有很多國家都對中國入侵者很感興趣,需要了解中國語言文化的人如台灣協助。
邁向東方以色列
無論軟體開發、情報還是密碼學,最關鍵的瓶頸都是人力資源。這問題有點麻煩,因為這類技能大部分都只能邊做邊學,無法經教育體系教會。不過倒是有個類似小國經營一段時間後,將孤立無援的國際局勢成功轉換為優勢,就是以色列。
如今以色列可說是軟體大國。人口只有900萬,幾十年前歷經各種抵制、撤資、旅遊限制;但現在Google、Facebook、微軟、英特爾都在以色列設立業務基地。此外,以色列資安產業也是世界一流,間諜軟體飛馬(Pegasus)不僅賺進數億美元,更成為外交重要工具。著名的震網(Stuxnet)病毒據說也是來自以色列,成功破壞沒有連網的伊朗核電廠電腦系統,即使十多年後依然是業界傳奇。
以色列強大的軟體業與兵役很有關係。大部分年輕人都打過仗,經常把相關經驗帶進公司。以色列8200網戰部隊(Unit8200)素有IT創業搖籃美名,是軍民結合的名範例。美國也有類似體制,如世界頂尖研究型大學及矽谷企業圈。這兩國都用體制發展數論(Number Theory)這類可破解古典密碼的數學領域知識,如8200網戰部隊的研究範圍之一就是訊號解碼(SIGINT)。不過短期這些條件台灣都難以複製。
台灣短期內最可能的方向是快速培植軟體業。如果制定嚴格網路安全法規,市場可能就會出現大量需求。當然這些需求可能都是為了應付公事,不太可能觸及技術最前線;但密碼學領域最先進攻擊大半都只是紙上談兵,理論非常強大,卻不太可能實際執行。現實攻擊往往都很低階,像之前入侵7-Eleven電子看板就不很複雜。
台灣必須從價值鏈底部開始發展資安能力,且軍方所需人才資源,在民間企業應該也很有用。強化資安的過程會經歷好幾個不同階段,無論哪個領域進步,最後都有助提升國家實力。中國祭出大量高級網路威脅,其實是送大禮給台灣。
(作者:David Stinson;本文由 台灣銀行家 授權轉載;首圖來源:shutterstock)