在歐洲大陸法系審理過程複雜,尊重人權的層層政經系統下,法國司法部為求符合與時俱進的Data Protection 以及Information Security法令,投入有史以來最大的資訊化與資安系統專案,耗資1億歐元(當年相當於新台幣56億元)與8年時間—從零開始架構出專司土地資訊化的機構EPELFI(Etablissement Public d''Exploitation du Livre Foncier Informatisé)。法國司法部EPELFI資安長Marc Heckmann,在Elsevier主辦的英國國際生物辨識年會(Biometrics Conference)上,分享導入生物辨識與公開金鑰基礎建設PKI經驗,對於資安人如何突破歐洲高度複雜的歷史、政經與文化差異,Marc有著深刻體會。
歐盟透明化政府下的產物:EPELFI
歐盟的執行機構 European Commission於 2002年認可Europe PKI框架,在此框架下,歐盟會員國以及準會員國需根據法令基礎,架構信息與文件交換的透明化歐盟聯邦。法國在2004年,頒出ADELE (法文:ADministration éLEctronique),目的讓所有使用者可以一天24小時一周7天,隨時閱讀使用政府數位化訊息,減少各種不必要運作開支,同時加速服務時效。而EPELFI就是在歐盟Transparent Government下的產物之一。 |
歷史與政治背景 法國土地交易一國兩制
法國亞爾薩斯和洛林兩省受到戰爭與主權更迭的影響,土地與房屋產權經常產生爭議,因此德意志帝國在1891年依據法蘭克福條約,將其納入司法部由地政法官(Juge de Livre Foncier)裁定產權;法國在1924年於民法準則下,准許繼續沿用德國司法程序,任何交易須經由法官簽字批准方能生效。二次大戰後,法國重獲亞爾薩斯-洛林的控制權,因求去德國化,更名為亞耳薩斯-摩澤爾,但仍讓該區沿用德國法律,自此一國兩制,全法國只有此區的土地辦公室編製在法國司法部的行政管理系統(Administration)下管轄。至於法國其他地區的土地核定,則由經濟財政工業部的公證人(Notary),回溯過去30年的交易記錄,確認沒有爭議後定奪。
百年下來,這些手寫交易記錄相當可觀,造冊資料達4萬本分散在46個地方法院土地辦公室(Land Office),每本土地冊籍(Land Registration Book)重達7公斤相當厚重難搬,其次,這些手寫資料有的字體潦草難看,或者德國哥德式字體複雜難辨,種種原因讓查閱工作難上加難,再加上公文作業的郵寄往返,一次裁核所付出的人力、時間與金錢成本都相當大(圖1)。種種原因促使 EPELFI 最終決定導入IT系統管理土地交易,並結合生物辨識與PKI技術確保安全。『無紙化 (Dematerialization) 和電腦化 (computerization)是主要目標,但必須解決兩個問題,』Marc說,『第一是如何依法將資料進行數據轉換與儲存。第二就是哪種資安解決方案最適合這種複雜多方、跨部門使用與管理的情境。』
圖1:亞爾薩斯-摩澤爾土地交易管理程序(導入電腦化作業前)
.jpg)
資料來源:本文作者整理,2012/5。
政府機構資安管理的最大問題在於必須符合法令。根據法令,所有法定文件不可移出法國國境,而資料轉換卻得在非洲馬達加斯加島進行;其次,在導入過程中,必須讓交易裁核繼續進行;最後,就是必須把舊書面資料掃描轉換成影像和數據。在2002年,一般辦公用掃描設備解析度低,甚至尺寸都不合於巨大厚重的冊籍,光是合法執行數據轉換工作,就得花費龐大的人力物力。
從技術上來說,Data數據不是原始文件,沒有不能移出國境的限制。所以,EPELFI將4萬本冊籍,用借來的大型輸出印刷用掃描機,一頁頁地以人工方式掃描轉換成PDF檔,然後傳到非洲馬達加斯加島的輸入中心。為確保資料正確性,Marc要求所有工作與流程必須,第一、進行數據封印(data sealing)以達安全性,於馬達加斯加島收到掃描過來的書面影像資料以及傳送回法國的數據,都需經過封印,確保不遭攔截更改或遺失。第二,同樣一筆資料須由兩組人同時輸入資料庫,經由比對確認後才傳送回法國的資料倉儲中心。『最辛苦的除了掃描厚重巨冊外,還有看懂人工書寫的潦草字跡,和古老德國式歌德字體,』Marc表示,這些可不能亂猜,因為錯一字將會差之千里。
至於資安解決方案的評估,Marc表示,PKI由政策、硬體、軟體、應用系統和作業流程等要素組成,具備non-repudiation不可否認性、authentication身分驗證、與integrity完整性是選擇主因,其概念與程序能同時滿足法令上對數位簽章以及數據封印最主要的資安需求。考量到司法部的身份敏感性,EPELFI專案團隊決定自行開發PKI架構中的憑證管理(CA)與憑證註冊中心(RA),完全不使用任何供應商的系統,以掌握並提高資安層級。
資安技術的應用還有適法性問題。當時法令對使用生物辨識系統、數位簽章以及資訊應用來管理法定文件的條例尚未成熟,整個導入過程可說是『一面做,一面讓上位者理解技術與法令的協調性,一面等立法或修法通過,這是司法部第一次導入這樣大型的資安專案,我們必須依法提出報告接受質詢,挑戰很大,因為我們沒有犯錯空間。』
雖然歐盟在1999年就公布數位簽章之於汎歐使用框架指令,但在2000年初期,沒有一家公司能做到EPELFI要求的規格與規模,最重要的是技術應用必須合乎法規;再者,數位簽章在2002年技術還不成熟,整體PKI與資安管理架構都是根據EPELFI需求客製化,導致金錢和時間成本都非常高,從導入到上線運作就花了8年時間。
資安系統導入 挑戰傳統司法管理流程
在大陸司法系統中,人的因素在於公證人、書記官與法官都各有一套審案模式,而dematerialized與computerized則是要將整個批准案件的工作標準化。其實,法定程序本質沒有改變,而是因為dematerialization與computerization取代絕大多數的人為作業管理,『對法官來說,按下Enter表示簽字,是一件非常難以接受的事情。所以,無論法官或書記官都要很清楚自己在做什麼決定。』Mrac表示。
過去所有紙上作業記錄與審核工作均依照法令程序,可以避免法官與書記官遺漏任何必填與必審訊息而造成問題或疑義。當他們在將紙上作業流程manual process數位化時,就出現三個問題:第一、數位化流程不能從資安與技術工作角度設計,必須依法將紙上manual process原封不動搬過去;第二、電腦呈現的訊息結果,必須完全與原來紙上審核作業一模一樣;第三、克服來自人的困難。專家要獲得使用者(也就是法官和書記官)的認同,同意數位流程符合原始審核流程與尊重他們習慣,』至於前述第一和第二的問題,因尊重受訪單位的資安要求,不在文內公開。
在身份識別上,設計法官與書記官使用不同的智慧卡,就連進入工作站程序也有差異(圖2)。由於法官可以使用筆記型電腦在家中或非辦公場所工作,所以使用設計較為複雜的辨識系統,智慧卡插入有指紋辨識器和通行碼輸入鍵盤的讀卡器,法官也是非資管人員中唯一要通過生物辨識系統進入工作站的人,而所有46個地方分院辦公室,其資安管理的前後台流程都必須與總部作業要求一致。至於書記官則使用設計較簡單的智慧卡,只要插入讀卡器輸入密碼,通過身分鑑別後就能開始作業。
圖2:土地交易管理電子化流程
.jpg)
註:為尊重受訪單位資安管理法規,以下為簡化圖示,非實際架構與運作流程。
資料來源:本文作者整理,2012/5。
Marc Heckmann的資安團隊假設:在法務單位電腦前工作的人,無論法官或書記官,對資安沒有重大威脅,最多是忘記密碼。『我們可不想天天幫忘記密碼的法官或書記官重設密碼。』所以,一旦任何人無法進入或忘記密碼,原來的憑證(智慧卡)就作廢銷毀,重新簽發憑證,且必須由資安長和一名資安管理人員共同執行簽發憑證流程。新的憑證必須由法官或書記官本人向資安長和資管人親自領取,不得由任何人代領。
對法官的安全控管有兩層面,第一是鑑別法官身分,第二是數位簽章。上述談的是身份識別,至於法官數位簽章管理(圖3),資安團隊每星期檢核所有法官的數位簽章,並且進入資料庫裡,檢核所有法官簽核批准的文件(如:契約、交易記錄和批准令等)上的數位簽章是否和法官儲存在系統中的相符合。為確保時戳部分的完整性,每週進行伺服器與atomic clock和GPS間的時間同步後,逐一比對時戳是否有任何差異。
Marc形容,整個PKI系統,像是俄羅斯套娃娃,要一個個套,一層層解。也就是說,在整個資安機制中,還有更強大的伺服器,多重security port,多重hidden firewall和authentic systems,不僅做備份,在最壞的情況下,所有的資料和批准令都能完善保存。從專案開始,資安團隊就已經把技術提昇和延展性都涵蓋在內,甚至也把未來可能更精進的入侵或破壞設想其中。資安管理涵蓋了三個要求:僅能該簽署人和其簽署文件連結;能夠驗明確認簽名人身分與簽署文件有效性;其簽署文件僅能被法官個人開啟,掌控與管理。
圖3:法官執行工作簡要說明(由前台至資料庫審閱批核檔案與資料回送)
.jpg)
註:為尊重受訪單位資安管理法規,以下為簡化圖示,非實際架構與運作流程。
資料來源:本文作者整理,2012/5。
資安工作成功因素:正面思考與創意
從法令條件下來看,資安管理系統必須具備:第一,司法可信效力,法官在資安機制下,必須對其做出的批准令有足夠信心並對結果負責。第二,公共檔案延續性與不可破壞之司法效力,根據法國1979年1月公布的檔案法,所有土地資料與批准令必須維持至少30年以上,有些資料甚至得永久保存。
由於內外部使用者都是特殊敏感的族群,既傳統且做法保守,對新科技—生物辨識技術不信任,而Dematerialising的流程,也意味著實體之牆被剷除(Demolish)。資安團隊在上線前雖執行了多次的最大化壓力測試,但最大的障礙還是法官反對聲浪,因為法官審核與執行業務的方式必須被改變。
法官是執法人,對於生物辨識科技的抗拒力強大。Marc說,法官最大的顧慮可以歸納為『對改變的恐懼』及『對人性的不信任』。法官認為,生物辨識技術不可靠,指紋可被複製,也顧慮技術人員會將他們的指紋挪作他用,或是受傷會影響工作,使得儲存法官指紋這件事,變得像在挑戰法律的崇高地位。
為了讓法官相信指紋不會像電影一樣遭到複製作假,闖過層層資安關卡竊取或損壞資料,資安團隊決定擔任任務失敗的諜報人員。他們讓法官在紅酒杯上留下指紋,然後進行複製並使用在指紋辨識器上,結果當然是無法通過,法官也半信半疑地接受。當然,他們也必須對法官們不斷溝通生物辨識科技的未來普及性,甚至滑鼠輕輕一點就可以加速審閱過程。
最有趣的是,Marc說,法官在導入指紋時都非常的緊張,造成他們不是體溫過高,就是雙手冰冷,甚至還汗手,只好一次又一次地重來。因為儲存的指紋不是不完整,就是無法使用。所以,他們還搞了些小遊戲讓法官覺得生物辨識系統很好玩。一群技術人員在真正要導入正式指紋時,為了讓法官在指紋掃描器前能夠放鬆,他們還帶法官做運動,甚至有優美古典音樂營造輕鬆的氣氛,總之,挺有用的,他們順利的取得了法官們有效完整指紋。
資安團隊以『正面思考』態度進行管理,這和一般資安人員動輒警告『小心壞人就在身邊』的做法不同。他們認為未來EPELFI要負起法務部資安建置馬首是瞻的責任,審慎的正面思考能幫助前進。Marc表示,明確需求、信心、正面思考與創意,是執行這項專案的成功因素。
根據EPELFI公布的數據,每天有1,500個核准令(不含其他文件)是法官經由電子化簽署發出。法國房地產權的狀況比較複雜,尤其亞爾薩斯-摩澤爾地區的複雜度更高,到2011年底,該區房地產有超過50%是通過電子化簽署簽核令。法官們也很開心可以在家工作,使得工作效率更高,也更加便民。過去一份批核令要30天才能簽署下來,如今只要一個星期就好,民眾還可以上網查閱簽核進度。最大的收穫是,當初的反對者法官們現在都非常滿意帶他們做運動聽音樂的資安長和技術人員的努力,同時也肯定生物辨識驗證是一個非常可靠及安全的技術與管理系統。當然,省下司法部更多的管理運作成本。而法國政府也邁入了Digital France 2012以及General Review of Public Policies新里程。
資安工作是個A Great Human Experience
利瑪竇於明朝萬曆11年(西元1852年)進入中國傳教。他最偉大的成就不只是融合東西文化、相互傳播知識,他還說漢語留鬚蓄髮穿儒服,讓當地人接受他。更重要的是他把科學與人性融合在一起,使其得以傳播永久。資安人有時必須要有利瑪竇的智慧,因為面臨的工作將會是組織變革,要說服人去改變,就必須從使用者的立場與語言去溝通,協助資安工作順暢,彼此用科技與人性信念打破藩籬,一路走來一路成長,協助組織邁向新的階段。
Marc表示,導入與使用生物辨識科技的工作中,最大的挑戰是在於psychological,就是心理上的挑戰,無論是法官還是電腦專家。而至今仍是『零』資安問題,是他們目前最大的成就,也受到法國司法部的極度肯定。『這是一個great human experience,』具有利瑪竇精神的Marc Heckmann非常有成就感的說,『我們不可能回頭,只能向前走。』
法國司法部EPELFI資安長Marc Heckmann表示,資安工作是個great human experience,我們不可能回頭,只能向前走。
本文作者於倫敦顧問公司,若有任何問題,歡迎來信: louise@westeastsolutions.com。