https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

大破大立 新政府的下一場資安質變:缺乏網路主管機關 無規矩何以成方圓

2009 / 06 / 30
吳依恂
大破大立 新政府的下一場資安質變:缺乏網路主管機關 無規矩何以成方圓
政府單位缺乏領導性的網路主管機關,網路安全既期待卻沒停止受傷害。

  根據刑事局的報告,96年的網路犯罪件數約高達3萬件左右,比起去年同期就增加了7,000件。警政署資訊室主任李相臣說,慢慢的,「資安」就快要等於「治安」了,一旦人們對資訊科技的使用越來越依賴,這變成了不可避免的事情,他舉例說,如果航空公司網站被入侵偷取資料,歹徒就可以知道某家人什麼時候打算出國去玩,進而去闖空門;又或者現在很多詐騙案件都是從網路拍賣、購物獲得個人資料後去衍生的。

  在現今的網路維安隊伍組織裡,調查局主要負責的是政府所發生的資安事件,法務部調查局資訊室主任閻鎖琳說道,調查局與國內其他網路維安隊伍的差異性,在於主要偵辦特定的、與民生相關的重大事件。去年底經立法院修法通過,將法務部查局組織條例升級為法務部調查局組織法,主要是將任務組織的架構納入正式體制的運作,閻鎖琳說,這才是於法有據!無論是在預算的編列或是人員的調配上都能更具規模化。此外,他也提到了近年來相當受到國內各檢警單位關注的數位鑑識技術,這項技術將有助於辦案人員在電腦上的資料蒐證,他建議在未來更可以擴大舉辦,增加設施、培育更多人才,提供受訓機會等,結合產、官、學界合作,另外更要納入電腦犯罪的偵察技巧,在科技犯罪越加嚴重的當下,偵辦技巧自然也應該與時共進。

  而調查局對未來的規劃提出的「提升資訊工作五年計畫」,是自97年開始的5年持續推動,主要有4個子計劃分別是:1、智慧型情資倉儲建置子計畫;2、強化公文系統功能與安全子計畫;3、資訊系統永續運作建置子計畫;4、汰換更新個人電腦及實體隔離建置子計畫。主要目的是強化政府的資訊安全系統,也提升調查局內部的資訊系統,成為智慧型的倉儲具有分析、決策的能力。

  除了調查局以外,還有刑事警察局等偵防單位,但是前陣子卻常發生多起網路犯罪受害者求救無門的案例,李相臣提到主要原因是缺乏網路主管機關。沒有單位能夠出來進行統合、規範,如同銀行發生事情的時候,金管會就會出面控管,但網路上發生事情的時候,誰會跳出來發聲呢?就像網路購物平台是不是應該具有主動過濾惡意程式的義務?有些網路購物平台雖然推出了安全標章,但你推你的、我也
有我的,各說各話沒有一定的標準,究竟又該具備何種等級的資安防護?如果民眾打算在網路上買本書,網路書店是不是真的需要全部的個人資料,還是只要身分證後4碼就足夠?又憑什麼購物就要交出所有的個人資料,而如果購物網站要收集個人資料是不是應該就要盡到保護資料的責任?

  另外,當民眾遇到網路詐騙的時候,儘管可以透過撥打「反詐騙諮詢電話165」來遏止,但依然是治標不治本。李相臣也提到,目前偵辦案件上也有許多執行上的困難,像是網路具有跨國性的特性,例如詐騙集團將網站位置設在中國大陸,造成儘管執法單位找到了源頭也無法偵破的窘境;另外,沒有相對應的主管機關更也是難以建立起與國外合作的管道;網站上被植入惡意的木馬程式,按照蒐證的法律,偵辦人員儘管有高超的技術也不能反植木馬回去,這也是立法上的問題。他認為,在網路安全上有許多問題都還有討論的空間,重要的是需先建立起網路主管機關和更加正視網路犯罪的問題。

產業聲音 網路犯罪偵查篇

趨勢科技台灣區總經理 洪偉淦:

  防毒軟體公司與駭客的關係,就像是保全公司只能防範單一宵小,而無法對付龐大的黑社會一樣,這是需要國家干預的。我認為,網路犯罪維安資源應整合,成立一位階較高的單位來統整相關資源。偵九隊人力不成比例的問題也存在已久。治安不能再只重視實體,網路虛擬安全將逐漸影響到實體環境安全。如目前層出不窮的詐騙事件,就是因為資安沒做好,虛擬世界的資料被外洩,民眾早上才網購下午就接到詐騙電話。這麼多的詐騙事件已經動搖民眾對電子商務網站的信任。在此也建議當局,趁兩岸關係和緩之際,應跟對岸談談如何攜手打擊網路犯罪將更為實際。

關貿網路總經理陳振楠:

  網路犯罪偵辦警力人手不足的問題還是存在。此外,應該將網路犯罪調查鑑定後的資安事件分享成為案例,以淺顯易懂的文字做為資安宣導教材。