負責全國電子公文交換的行政院電子公文系統,證實被駭客入侵,行政院技術服務中心在5月15日發布受駭的資通安全通報,但是,在5月22日由國家檔案管理局舉辦的電子公文交換業務說明會,卻沒有告知系統受駭的事實,顯有企圖遮掩的意圖。
在這場說明會中,檔案管理局只要求各機關強化電子公文系統的安全性,現場並提供相關的更新光碟,要求各機關進行軟體清查,並安裝新版的軟體,但是對於系統受駭一事卻隻字未提。
新北市研考會主委吳肇銘表示,負責同仁回來後,新北市就按照檔案管理局的指示,進行軟體清查並安裝新版軟體,但直到媒體詢問後,他才知道電子公文交換系統受駭的事實。
行政院技術服務中心在5月15日發布資安通報後,媒體在23日開始報導,但負責處理國家資安事件的資通安全辦公室,卻直到24日才對外發布聲明稿。政府受駭事件非同小可,但行政院資通安全辦公室並沒有在第一時間,提醒大家注意這樣的資安事故,等到5月24日正式發布公告,反而比媒體報導還慢了一步。
電子公文交換系統受駭,超過7千個機關受影響
全臺公務機關傳遞各式電子公文的行政院電子公文交換網路系統於5月初發現遭駭,負責電子公文交換的終端軟體eClient,在提供該軟體直接下載的網站中,eClient 的執行檔被置換成一個惡意程式,對外連線到不明的中繼網站。行政院資通安全辦公室預估,全臺超過7,000個政府機關受到影響,包括中央機關、地方機關、市政公所、醫院、中小學校等。
行政院資通安全辦公室也發出聲明稿表示,近年來政府各機關逐步建立的網路監控機制收到成效,5月初主動偵測到公文電子交換網路系統(eClient)在機關外端有異常行為,經追查確認係遭新型態惡意攻擊植入惡意程式。
經行政院資通安全辦公室召開多次專案會議,決定重建受駭的公文交換系統,以避免殘留惡意程式。該聲明稿中指出,目前中控端已完成重建,行政院檔案管理局於5月22日邀集各機關說明eClient更版程序及注意事項等,預計可於5月底前完成外端掃毒及更新。
通報中也要求政府各單位將已經發現的中繼站名單,更新到各單位的防火牆規則中,監控內部公務電腦是否連線到這些中繼站,判斷是否被入侵。
據了解,這起資安事件被發現的原因是,5月初時,有ㄧ個政府單位負責電子公文交換系統的人員,下載了電子公文官網上提供的新版eClient更新程式,下載並安裝後到電腦上以後,電腦上的防毒軟體卻跳出警告,通知使用者這是一個惡意程式。這位公務員將此狀況通報資通安全辦公室後,才發現這起資安事件。
行政院資通安全辦公室當時就要求,負責協助監控臺灣各個政府部門主要的4大SOC中心(包括中華電信、宏碁、數聯資安及關貿網路)和相關合作的資安廠商,來協助各個政府部門徹底檢查電子公文交換系統是否同樣遭駭。
行政院資通安全辦公室主任蕭秀琴表示,目前政府已經掌握新攻擊手法的模式,因為其複雜與精密程度是過去所罕見,應該是駭客長期埋伏且是有組織、有系統的行為。
蕭秀琴說,目前政府部門最要緊的是復原系統、清查到底「掉了什麼」?原因是什麼?以及如何才能避免再發生類似資安漏洞。而行政院資通安全辦公室為求徹底防範,除了將這次資安事件,列為次嚴重的第三級資安事件外,也全面更新七千多部的電腦eClient軟體。全國有6成電子公文有外洩風險
行政院電子公文交換系統受駭,受影響的範圍深遠。行政院國家檔案管理局副局長林秋燕表示,全臺有7,303個機關都使用eClient做為電子公文交換,包括中央各部會、地方政府各機關,如鄉鎮市公所、醫院與國高中、國小等各級學校等,也都在此次受影響的範圍內。
林秋燕指出,電子公文交換系統的運作分成管理層、交換層和終端層,管理層原本是由行政院研考會負責,在組織改組後,今年開始便由國家檔案管理局負責相關的維運;交換層主要是進行電子公文交換,目前全臺灣由政府建置的統合交換中心有58個,其餘少數如臺北市政府因為機關眾多,則自建公文交換中心,但臺北市若有和中央政府或其他外部機關交換電子公文時,則會透過公文交換閘道器進行公文交換。至於用戶端的電腦,則是安裝eClient電子公文交換終端軟體,負責該部門的電子公文交換。發生問題的則是採用政府統一提供公文交換系統的公務機構,而自建者如臺北市則不會受到影響。
雖然機密公文大多不會透過電子公文交換系統來傳遞,資通安全辦公室也聲明沒有機密公文外洩,但根據檔案管理局5月發布的電子公文節能減紙續階方案計畫資料,目前中央二級以上及地方一級以上公文電子交換比率為86%,全國各機關公文電子交換比率為60%。這意味著在中央機關有86%的公文,全國機關則有6成比例,都是透過電子公文交換系統來傳遞,也都可能暴露在被複製竊取的風險中。
公文製作和交換電腦分離者,公文遭竊也不易被解密而外洩
不過,林秋燕進一步說明,電子公文傳遞另有內容加密的保護機制,即使交換用的檔案外洩也不易破解。目前電子公文交換的運作方式,所有的公文進行交換時,電子公文發出時,各機關都必須有電子簽章和電子關防進行加密,在進行公文傳送時,也必須以加密的電子信封進行傳遞。因此,電子公文進行交換時,內容本體已經是加密狀態,也增加電子文件交換時的安全性。
雖然檔案管理局要求各機關對於電子公文交換的電腦是專機專用,但有些資源短缺的公務機關,基於資源的有效利用,則會在同一臺電腦上同時執行電子公文的產製,以及負責後續的電子公文交換。如果該單位負責電子公文交換的人員,已經更新到假冒的eClient軟體,惡意程式便已植入該臺電腦,就可能藉此取得公文製作程式能存取的公文原始檔而外洩。像是有些政府機構統一由收發單位負責電子公文檔案的產製與發送,就可能被惡意程式竊取公文。
電子公文交換系統是政府在2006年委託資策會負責開發。此次也傳出有很多單位也同時在更新eClient軟體,林秋燕解釋,按照預定計畫,為了強化GRCA、GCA等政府憑證管理中心的憑證安全性,原本就預計要更新新版的eClient軟體,有許多機關單位的軟體更新,都只是照原訂計畫進行而已。
安全不只是中央政府的責任
資安專家數聯資安副總經理張裕敏表示,依照駭客攻擊許多政府機關手法,最常使用的就是社交工程郵件,其次為研究相關系統開發廠商公司與人員可能的漏洞,第三點則是透過掃描並檢查相關系統的入口網站,是否有可利用的弱點,例如SQL Injection或緩衝區溢位等。但目前仍得等行政院資通安全辦公室公布後,才可能知道可能的入侵管道。
吳肇銘表示,新北市進行電子公文交換時,都有負責公文收發的同仁,必須在設定為電子公文交換的電腦上,且具有相關權限,透過機關憑證和自然人憑證才能進行發文或電子公文交換。他認為,不可能由中央政府部門一肩挑起這次的資安責任,所有使用電子公文交換的單位,都有可能是整個資安體系中最弱的環節,成為被入侵或夾帶惡意程式的源頭。經此事件後,他也要求新北市的同仁,對於各種資安事件的發生與通報,應該要更能即時反應。文⊙黃彥棻
熱門新聞
2024-04-17
2024-04-18
2024-04-17
2024-04-15
2024-04-15
2024-04-15