資訊安全跟其他的概念相比的確是非常弔詭,資訊科技是為了效率和便利所驅動的科學發展,安全卻是一種不以效率為最先考量,甚至常常對什麼都要踩剎車。
我們坐火車,鐵軌經過火車站,常常會看到這樣的標語:「確認、確認、再三確認,聯繫、聯繫、再三聯繫」,按照資通訊科技的看法,要如此多次的聯繫和確認,是非常沒有效率的協定。
總統府的電子郵件被駭客入侵,看到這個消息我的確是有點感慨,當年我剛回成大還沒有很久的時候,陳水扁當總統,那時候的研考會發現,所有的部長和機要秘書、核心幕僚之間通訊都和一般人一樣,一般人用什麼軟體,他們就用什麼軟體,因此這些資料很容易被敵人所掌握。
我那時候接了一個計劃,替某家電信公司發展出來的加密電子郵件系統,做資訊安全方面的白箱測試,這個系統原先是打算給政府高層通訊使用。
我和實驗室的幾個研究生和專任的研究人員花了不少的時間,利用共通準則的方法論,做相當多的測試,提出一些意見和改善的方法,計劃也順利結案。
但是這個所謂的安全電子郵件系統,從來沒有被政府的高層所使用過,沒有人願意去犧牲效率和方便只為了得到某種程度的安全。
做這些白帽駭客的事情,除了訓練一些學生以外,對自己真的沒有太多的好處,尤其那時候還面臨升等的壓力,這種計劃耗費時間,卻無法產生任何對升等有用的論文,而且最後只是一個從來沒有被人家使用的廢物系統,浪費的青春歲月真的令人惋惜。
大家猜現在政府的高層包含總統府行政院之間的大人物、核心幕僚等等,彼此之間用的是什麼通訊軟體?
我猜是不會令人感到太難使用、太麻煩的那種,而且最好是公務和私人使用都是同樣的軟體,比較小心謹慎一點的,會用不同的帳號,以為這樣就可以保護自己工作上的機密。
我們為什麼一直反對發行晶片身分證,當幾乎所有人都在強調效率方便、經濟發展的時候,總要有人提出資訊安全的警告,晶片身分證不知道到底是由誰來保證它資訊安全的部分?
看起來主要是內政部的官員,和以前從來沒有在反服貿電信與資料庫以及反中資入股IC設計運動,發表過任何意見的專家學者,這些人真的有資訊安全的素養嗎?
資訊安全的重要性,只有在事到臨頭、無可挽回的時候,一般人才會感覺到它的存在,不要說未來晶片身分證資訊安全可能發生的問題,請問總統府被駭客入侵事件,到底是誰要負責?
當成一般的犯罪事件處理,政治及行政管理上,有人需要負責嗎?最後有人負責嗎?看到這個國家資訊安全治理,荒謬的所在了吧?