政府資安的發條鬆了

資訊安全就是國家安全，這個道理人人皆知，政府亦然。政府機關坐擁國家機密 資訊，手握人民的敏感資料，在資訊安 全的防護上有更大的責任。

政府機關對資安的重視，一直以來都走得比 民間企業還要快，不論是資訊安全防護網的建 設、資安管理制度的落實，或是資訊安全意識 的教育訓練，過去至今都持續在進行。畢竟， 海峽對岸的中國仍舊以敵對的立場，發動針對 政府機關的網路攻擊與情報竊取，因此，政府 機關的資安管理必須時時刻刻上緊發條。

然而，從最近幾起跟資安有關的事件來看， 我不禁擔心政府資安的發條是不是鬆了？

第一起事件是發生在本月初的OpenSSL安全漏洞問題，這個漏洞被發現者以「心臟淌血 （Heartbleed）」來命名，可見其問題的嚴重性。事實上這個命名貼切，因為SSL是當今網站 為了保障資料安全傳輸所仰賴的加密技術，而上至Google、Amazon這類大型網站，下至使用 開源套件架站的線上商店，都在使用OpenSSL 加密工具，因此OpenSSL Heartbleed這個漏洞將使得多數網站的傳輸加密防護，形同虛設。

簡單來說，如果你曾經跟使用OpenSSL的網站有過交易，像是已經申請了帳號密碼，而這個網站使用的OpenSSL是有漏洞的版本，那麼你的帳密就有可能被駭客竊取，因為這個漏洞已經存在2年了。

OpenSSL Heartbleed被稱為是史上最嚴重的網路安全問題，資安教父Bruce Schneier甚至以網路災難來形容，他說如果以嚴重性10分來評分，Heartbleed甚至可以得到11分，問題嚴重到足以破表。

在4月9日Heartbleed漏洞被揭露之後，面對可能是史上最大的網路災難，全世界都緊急動員起來。全球媒體大肆報導，iThome也不例外，從4月9日就開始一系列追踨報導，而許多國家的電腦安全緊急應變中心，也立刻發出通 報與應變指南。

但是，臺灣幾個電腦安全應變中心在第一時間卻沒什麼動靜。率先發出公告的是行政院研考會委託中華電信的政府網際服務網，在4月9日發布公告；而國家安全政策最高單位國家資通安全會報，則是在4月10日於國家電腦事件 處理中心網站公告，4月11日國家資通安全會報技術服務中心發布安全通報給機關、學校等單位；TWCERT網站，則是4月11日公告由技術服務中心發出的通報。

由此可見，許多政府機關是在Heartbleed漏洞被揭露的2天後，才收到安全通報，在過去以人工傳遞公文的年代，2天的時間差可能沒什麼大礙，但現今可是網際網路的時代了，許多網路攻擊都是在漏洞被揭露的當天就陸續發生了，2天的空窗影響可不小。

政府的資安通報不僅發送時間慢了，通報內容跟其他國家的比較，也是令人汗顏。如芬蘭、美國等國家的Heartbleed資安通報，除了問題的描述、影響的平臺、建議措施，還列出了一長串受影響的資訊設備，包括廠牌與型號。而我國政府技術服務中心的安全通報，就是制式的問題描述、影響平臺及建議措施，若把參考資料網址也算進去的話，以A4紙印出來還不到1頁半。

不只是安全通報比別人慢、內容點到為止，就連接下來掌握政府機關受影響的狀況，也都慢了好幾拍。

因為Heartbleed漏洞存在2年之久，有可能駭客早就竊取密碼了，所以根本解決之道是在修補好OpenSSL漏洞後，要求所有使用者立即更換密碼。前幾天，美國政府的健保網站，就要求8百萬用戶更換密碼。而臺灣呢？負責國家安全政策的行政院資通安全辦公室說，要到4 月底才能完成對政府所有網站的安全掃描，屆時才能完整掌握所有狀況。

也就是說，政府現在沒辦法告訴國人，到底哪些政府網站是安全的，以及是否該立即採取更換密碼的保護措施。因此，政府網站現在還處於Heartbleed危險空窗期，只求人人自保。

不只是Heartbleed的問題如此，Windows XP 終止支援的安全問題亦雷同。Windows XP在4 月8日終止支援了，這回資通安全辦公室確實提早發出公告與因應指南，提供各機關學校應 變之道，但是，這份公告竟然是3月26日才發 出來，距離XP終止支援日只提早了2周，扣掉公文旅行的時間，機關單位哪有足夠的時間因應？當然，許多單位早就考慮到提早因應XP的問題，倒不需要依賴這份通報的提醒，但由資安辦發通報的時間點來看，這份通報似乎只是為了要應付交代，徒然是個笑話。

所以，政府資安的發條顯然是鬆了，現在不只是自己的國家要自己救，自己的資安也得自己顧。