臺灣的資安危機處理睡著了嗎？

臺灣號稱資訊大國，但在近來幾次的全球大型資安事件中，臺灣的資安危機處理機制看來是睡著了。

去年10月，惡名昭彰、令人聞風色變的勒索軟體──CryptoLocker，在國外迅速散播開來，許多人的電腦檔案都被這個勒索軟體以最高等級1024位元的加密技術給加密鎖死，如果不匯款給駭客，取得解密的鑰匙，那麼這些被綁架的檔案就幾乎是永遠不見天日了。

這起資安事件在國外傳開後，沒幾天就傳到了臺灣，受害事件陸續浮現。有的公司發生多臺員工電腦被綁架，與客戶往來的工作檔案全部被加密鎖死了，不僅業務運作被迫停止，還要掙扎是否匯款給駭客；有的人則是多年珍藏的生活照片檔案全都被加密，人生記憶剎時缺了一角。

此一囂張手法造成幾乎是致命性的破壞力，令人聞風喪膽，當我們一聽到這個消息，立即以大篇幅連續的報導，提醒大家多加留意，以免掉入無可挽回的陷阱。當時許多國家的資安危機處理中心也紛紛發出資安警告通報，像是美國電腦應變中心US-CERT，就迅速公布該事件的分析，讓民眾了解事件的嚴重性，並提供民眾自保之道。

不只美國的US-CERT這麼做， 我們隔鄰的香港，HK-CERT也在第一時間公布CryptoLocker資安事件通報，然而，當我們打開臺灣TW-CERT（臺灣電腦網路危機處理暨協調中心）的網站，卻看不到一絲的訊息，宛如這件事沒在臺灣發生過。

這個禮拜，比CryptoLocker更加撼動資安界的OpenSSL漏洞──Heartbleed，在4月8日被揭露，駭客利用這個漏洞可輕易取得帳號、密碼、信用卡號等等重要的資料，而且網站管理者與使用者可能無法察覺。

SSL是現今網站安全最重要的加密技術，所有網站為了保護通訊安全皆採取SSL加密，像是我們普遍使用的線上購物、網路銀行、電子郵件、社群網站等網路服務皆是，一旦大家所仰賴的SSL加密出現漏洞，無疑是網路安全交易的崩壞。

根據NetCraft預估，全球將近50萬臺網頁伺服器都存在Heartbleed這個OpenSSL的漏洞，我們平常使用的網站都有可能潛藏著Heartbleed風險。事實上，Google、Yahoo、Facebook這些大型網站都在近日緊急修補這個漏洞，可見Heartbleed問題的衝擊之大。

這幾天全球媒體拚命報導Heartbleed的嚴重性，iThome也做一個系列追踨報導（OpenSSL Heartbleed漏洞危機特別報導），許多國家的資安危機應變中心也紛紛發出緊急通報，但是，我再次發現TWCERT網站毫無動靜，另一個，國家電腦事件處理中心（TWNCERT）網站也沒有任何Heartbleed的訊息，最後只有在政府網路危機處理中心（GSNCERT）找到一則OpenSSL Heartbleed漏洞的資安通報。

比較一下我們的鄰國，日本的JPCERT、韓國的KRCERT、香港的HKCERT、中國的CNCERT、新加坡的SingCERT、馬來西亞的MyCERT、泰國的ThaiCERT，全都已經發布OpenSSL Heartbleed漏洞的資安警告，對其國民提供即時的警訊。

其實，TWCERT以前並不是這樣的，過去他們在資安事件的通報與示警上，曾經做得很好。TWCERT是由中山大學的教授發起成立，他們致力於改善臺灣的資安環境，但是經費逐年短缺，在人力物力不足的情況下，資安訊息通報作業不再即時，變成是每月固定更新了。在當今網路安全瞬息萬變的時代，每月固定更新顯然是緩不濟急。

究其根本，TWCERT今日的處境，反應了政府對資訊安全的重視度。面對如此嚴重的網路安全威脅，關係到每個人、每個企業的安全問題，許多國家都在第一時間對國人公布訊息，然而臺灣卻像是活在另一個世界。如果連這樣簡單的資安危機公告都沒做好，要怎麼讓人民相信政府有為國家安全與資訊安全做好把關了呢？