一、「主動式網路防禦」思維的誕生
我國政治情勢特殊,又是高科技供應鏈重鎮,時時面臨來自境內、外之網路攻擊威脅。 例如在109年總統就職期間,就曾發生針對我國關鍵基礎設施的大規模攻擊
[1]。 類似的攻擊常以分散式阻斷服務攻擊(DDoS,distributed denial-of-service attack),與進階持續性威脅攻擊(APT,Advanced Persistent Threat)的方式出現。 DDoS意在癱瘓攻擊目標的對外正常連線能力,甚至造成其對外服務中斷;APT則針對目標的弱點,一步步加以滲透,直至成功駭入目標並取得權限,常見於資料竊取或加密勒索等類型之案件。 由於網路攻擊實施的手法多元且追溯不易,被攻擊的組織通常只能趕快對系統進行「隔離消毒」、堵上破口,並採取加強監測等被動回應式的防禦手段。 相對於傳統被動式網路防禦常採見招拆招並儘快回應攻勢的作法;許多國家漸漸認為,在面對網路攻擊時,須有更積極主動的策略,這也形成了其「主動式網路防禦」的思維,甚至成為其國家資安策略的一部分
[2]。
然而,各界對主動式網路防禦目前其實尚未有一致的定義,相對較平和與相對較激進的主動式網路防禦間,其實存在著主動與因應程度的差異,而此程度的不同,也就隱含著行為合法與否的判斷標準或考量因素也會隨之變化。 本文擬就其中較激進的類型進行討論。
二、激進型的主動式網路防禦-喬治亞「請君入甕」案
- 喬治亞請駭客入甕[3][4]
由於種族、宗教、政治情勢等複雜的因素,西元2008年,喬治亞(Georgia)與俄羅斯除了在喬治亞的南奧塞提亞(South Ossetia)等地爆發激戰外,據報導,喬治亞的重要機關與組織,在同時期亦不斷受到疑似來自俄羅斯的網路攻擊。 當時,喬治亞政府多台電腦遭入侵並植入惡意程式,這些程式會搜尋帶有,例如,「美國」、「北約」等關鍵字的文件,並將檔案回傳到駭客所控制的中繼站。 喬治亞政府先依照一般的網路防禦方法因應,於控制住狀況後,其決定將計就計,為駭客量身打造了一個誘餌文件,並取名為「喬治亞-北約協議」,向駭客的惡意程式招手。 誘餌被駭客取走後,成功地在駭客的電腦中發揮「功能」,除了取得駭客電腦中與網路攻擊行動相關的文件,也開啟了駭客電腦上的攝影鏡頭,監看駭客及其所在的環境。
檢視喬治亞此一「請君入甕」的例子,可以發現喬治亞採取的主動式網路防禦手段相當「積極」,其不但深入敵營(使駭客取回誘餌文件,因此喬治亞得以將誘餌文件所包藏的程式,部署在駭客端),且效果也不僅止於阻敵陣前,而是得以監看敵營、搜查其電腦資料、取走重要情資。 或許因為喬治亞是國家,彼時又正值喬治亞與俄羅斯間戰爭衝突時期;也或許是因為本案沒有無辜的第三人受到波及;也可能只是因為國際政治的複雜,上述喬治亞「請君入甕」式的防禦作法,並未引起後續正式的法律行動。 當然,未引起法律行動,並不當然等同其行為合法(即使在其對手違法的情形下);以喬治亞的案例來說,其是否合法仍須於國際法等層面進行討論。 不過,針對主動式網路防禦此一主題,本文想討論的不是國際法,也不是公部門,而是希望藉著喬治亞案的情境來探索:若行為人是一般私人組織,其對駭客採取類似喬治亞所採行的積極防禦手段,在(刑事)法律上會不會有問題?
- 大家都可以這麼「積極」?
喬治亞案的情境中,不同於傳統被動、回應式防禦,反而積極利用、順應駭客的設置,進行情資蒐集及其他防禦作為的主動式網路防禦類型,若能在合法的前提下運用得宜,或許確實有助於組織進行後續之資源分配與防禦規劃,甚至司法救濟事宜。 但如果做得太過激進,也可能會超過對方的忍受義務,甚至可能在防禦過程中波及無辜,此時防禦的一方即可能須負擔法律責任。
私人執行主動式網路防禦,如何才合法? 主動式網路防禦在不同的脈絡下,可能以不同的樣貌出現。 這一方面是因為這個概念本身的延展性,從較單純的持續研判情資並據以強化偵測,到誘敵錯判,乃至於如本文所討論的請君入甕模式,都有人主張其屬於主動式網路防禦的類型。 主動式網路防禦所採行的措施或作法是否合法,必須考慮許多條件,難以一概而論。 在判斷時,或可以從防禦行為或該行為發生效果的網域或伺服器,是否原本即由防禦方合法掌控或防禦方得於其間合法自由行事開始考量。 如果答案為是,或許相對較不至於陷於違法,但組織仍以先就此進行合法性評估為宜。 若答案為否,則建議務必要進一步檢視:如果該效果會造成他人的權益受損(不論該他人是駭客或無辜的第三人),則除非某些法定事由(例如,正當防衛)存在,否則違法的機率較高。
在前述請君入甕的情境,防禦方之行為是將計就計,藉著駭客取走之檔案程式,監看駭客環境、蒐集並回傳與侵駭事件相關之資料;其防禦行為及效果主要發生在駭客處,而監看、檢索並取走他人資料,一般會認為可能係對他人造成不利,因此組織若從事類似行為,務必謹慎確認是否有合法化事由存在為妥。
三、私人組織執行請君入甕策略的刑事法律風險分析
若我國的私人組織處於類似喬治亞(防禦方)的情境,並將計就計讓駭客(此時,駭客可能是商業間諜或其他意圖竊取機密資訊販售圖利的不肖之徒或犯罪組織)帶回誘餌程式,並藉之取得駭客端之環境影像與其電腦內之侵駭相關資料;此時,最須考量的刑事法律風險,首推刑法第315-1條之妨害秘密罪與刑法第359條無故取得他人電磁紀錄罪。 此外,因所取得之資料類型與內容不同,亦可能須另考慮個人資料保護法、著作權法或其他法律之規定;一個主動式網路防禦行為即使未違犯上述刑法規定之罪,仍可能違反個人資料保護法等其他法律,因此,在組織規劃自身網路防禦策略與作法時,務必併同思考。
為聚焦本文討論,針對涉及個人資料保護法等法律的情形,將於日後再擇機撰文分析;而案例中的駭客行為,本文則設定其屬違法,並以此為前提,進行請君入甕情境下的「監看駭客」及「攜回駭客端資料」此二行為之討論。
- 監看駭客
依刑法第315-1條之規定,如「無故利用工具或設備窺視、竊聽他人非公開之活動、言論、談話或身體隱私部位…或無故以錄音、照相、錄影或電磁紀錄竊錄他人非公開之活動、言論、談話或身體隱私部位…者」,處三年以下有期徒刑、拘役或三十萬元以下罰金。 如組織之主動式網路防禦行為與喬治亞案例中相同,亦即,於駭客之所在,開啟攝影鏡頭加以監看,且所見所聞屬於駭客之非公開活動、言論、談話或身體隱私部位,則此防禦行為,在外觀上即已符合前述刑法第315-1條「利用工具或設備窺視、竊聽…或以錄音、照相、錄影或電磁紀錄竊錄他人非公開之活動、言論、談話」之要件。 此時需要進一步討論的是刑法第315-1條的「無故」,在本文討論脈絡中究竟應如何適用。
刑法第315-1條所稱的「無故」,一般解釋為「無正當理由」,而所謂正當理由,可能是刑法第21條至第24條所規定之阻卻違法事由(例如,依法令之行為),或是法律規定以外之其他阻卻違法事由。 以監看行為來說,其適用刑法第21條至第24條的可能性較低(理由類似下一小節關於取走駭客端資料是否有正當理由的討論)。 至於防禦方透過監看所希望達成的效果,雖可能與未來向駭客求償等目的亦有關(透過監看知悉駭客長相或確認其身分等),不過由於未必只有駭客會受到監看行為的影響(無辜的第三人也可能被波及),且最高法院曾在竊錄疑似通姦配偶以利後續訴訟的案件中,指出配偶之一方不能以蒐證為由,而侵犯個人免受他人侵擾之私領域,亦不能藉蒐證為由而免於刑罰[5];此見解雖來自於維護配偶間權利之案件,然推論上亦可能用於侵駭案件,因此,若欲以蒐證或確認加害人身分等理由作為監看之正當理由,有其難度。 綜合上述,如果主動式網路防禦行為涉及監看此一舉措,而內容又涉及他人非公開之活動等,則很可能難以免於刑法第315-1條的罪名。
- 攜回駭客端資料
攜回駭客端資料涉及刑法第359條關於無故取得他人電磁紀錄罪,該條規定如下:「無故取得…他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 當防禦方利用誘餌程式在駭客的電腦中搜尋,並進而取走駭客中與侵駭相關的資料,此行為本身與刑法第359條「…取得…他人電腦…之電磁紀錄」之規定一致,此時,如防禦方的行為亦被認定為無故,且造成公眾或他人(包括駭客)之損害時,則防禦方即可能違犯刑法359條。
此處最需討論的有以下兩點:第一,防禦方之行為是否有正當理由? 第二,防禦方攜回駭客端資料的行為是否致生損害於公眾或他人(包含駭客或其他無辜第三人)?
(1)防禦方攜回駭客資料的行為有無正當理由?
如前述,所謂正當理由,指的可能是刑法所規定之阻卻違法事由,也可能是其他正當事由。 前者的情形包括:
(i) 「行為屬依法令之行為」(例如追捕現行犯時,限制其自由)、
(ii)「行為係依所屬上級公務員命令之職務上行為」、
(iii)「行為係屬業務上之正當行為」(例如醫生為所收治之病患開刀)、
(iv)「正當防衛或緊急避難之合理範圍內」(例如為救援家人免於生命危險而打昏強盜或
損壞鄰人物品、穿越鄰人宅第)等。
因為本文探討事例中,較可能被提出作為正當事由者,想像上應多能為上述四類情形所涵蓋,故不另特別討論其他事由。以結論而言,於本文討論之情形,判斷上似難以認定存在上述法定之正當理由。 以下分別說明之。
以「行為屬依法令之行為」來說,目前尚無允許為蒐集駭客資訊而反駭之法令,故此項目前仍無法成為本文所討論情形的正當事由。 而本文所探索的是私人組織進行反制的情形,是故,亦暫無須討論「行為係依所屬上級公務員命令之職務上行為」。
如欲主張「行為係屬業務上之正當行為」,則該主張須同時符合「正當業務」與「正當行為」兩項要素。 我國實務上[6]曾有超商店員處理消費糾紛時使客人受傷而挨告,法院見解認為超商店員管理店內事務固為正當業務,但難以認為「傷人」在客觀上與管理店內事務有直接、密切、必然關係。 同樣的,我們可以推論,防護資通系統雖然是資訊人員的正當業務,但其方式也無由延伸至包括竊取他人資料等情形。 此外,資訊人員以侵害他人權利的行為來進行防護,亦欠缺業務上正當行為在判斷上須考慮的行為利益與損害間的關聯與衡平[7];受侵駭時進行反制以取得駭客端資訊之行為,其利益與損害非但未歸屬於同一人,甚至也難以確知效果係作用於駭客而非無辜的第三人。 綜合上述,對駭客反制並取走其資料檔案的行為,應不易主張「行為係屬業務上之正當行為」。
至於行為是否可能在「正當防衛或緊急避難之合理範圍內」,因為一般認為正當防衛與緊急避難在解釋時,係以現在不法之侵害或緊急危難情形正發生或仍存在為必要,若侵害或危難已完成或屬過去,即難以主張[8];而防禦方既能從容布置、引敵入甕,較難想像侵害或危難現正存在或仍有急迫之情形,因此,防禦方如欲以正當防衛或緊急避難為由,來作為攜取駭客端資料行為的正當理由,恐有難度。
(2)防禦方攜回端駭客資料的行為是否致生損害於公眾或他人?
刑法第359條之致生損害於公眾或他人之「致生損害」究應作何解釋,頗有爭論且均據其理。 如僅從實務面觀察,則實務上雖不以此損害為經濟上損害為必要,其他如敏感資訊遭揭露等,亦在損害之列;但因法條用字係「致生損害」,而非「足生損害」,故仍要求須有實害產生始足當之,如僅存在遭受損害之可能性,則尚非此處之「致生損害」。 就本文所討論案例而言,防禦方取走駭客端文件檔案,其意應在進一步了解駭客的侵駭計畫,此時自駭客端取走之文件檔案,設想上當屬敏感資訊。
- 小結
從上述對刑法第359條之討論可知,本文所討論之主動式網路防禦中「取回駭客端資料」此一步驟,很可能符合該條之「無故取得…他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人」;而監看駭客的部分,亦如前所述,頗有違犯刑法第315-1條妨害秘密罪之可能。 因此,建議私人組織原則不要採取積極如本文所討論之請君入甕式防禦方法,以免有觸法之虞。
四、結論
各界對主動式網路防禦的定義仍有不同看法,本文以喬治亞請君入甕的情境為例,針對主動式網路防禦中較激進的類型,進行刑法相關的法律風險討論。 雖因考量篇幅與公務機關所面對情勢的特殊性,本文並未探討公務機關及其人員為公務而執行主動式網路防禦時之恰當界線與判準考量,而留待之後另文討論;針對私人組織,本文在分析後認為:若是私人組織處於請君入甕案例的防禦方情境下,執行對駭客監看或取走駭客電腦中文件檔案之主動式網路防禦行為,則行為人很可能該當刑法第315-1條及第359條之罪名,不可不三思。在法律未對此另為明文處理前[9],對私人而言,回應侵駭行為的最佳處理方式仍是進行回應式防禦或是較為平和之主動式網路防禦,且在執行主動式網路防禦時,須留意適當界線,於疑似越界的部分,建議勿輕易嘗試,宜報案請檢警協助,以免自陷違法爭議。
[1] https://tw.appledaily.com/politics/20200703/OIXSELPNUIF3AC2TGYNXNNA6PA/ (last visited Sep.10, 2021).
[2] 例如我國110至113年期之「國家資通安全發展方案」,即把「主動抵禦潛在威脅」納入推動策略之中。
https://nicst.ey.gov.tw/File/D55C6E61DC0BE23?A=C (last visited Sep.10, 2021).
[3] https://www.hbrtaiwan.com/article_content_AR0008127.html (last visited Sep.10, 2021).
[4] https://newtalk.tw/news/view/2018-08-08/134471 (last visited Sep.10, 2021).
[5] 最高法院102年度台上字第2300號刑事判決。
[6] 臺灣高等法院109年度上易字第1908號刑事判決參照。
[7] 例如醫師為病患開刀之行為,其利益為疾病獲得醫治,而損害則是身體因開刀而受傷,此利益與損害間係屬相關,
且兩者亦均歸屬於病患,故一般只要開刀之行為無悖專業判斷,而病患亦未反對,即可認屬「正當行為」。
[8] 最高法院96年度台上字第1061號判決參照。
[9] 美國在數年前曾經有國會議員提出賦予私人企業可執行此類較激進之主動式網路防禦之法案,然因爭議過多,並未通過。
本文為行政院國家資通安全會報技術服務中心研究成果; 本文為投稿文,不代表社方立場。