分類
時評

李忠憲 : 資安許可身家調查 2019-09-18

我們八月去美國的資訊安全研究參訪活動,本來有一站要參觀能源部的阿岡實驗室,可是要進入這個實驗室之前要做資安許可身家調查,即使要走馬看花,也不能夠隨隨便便進去。

最近因為受到出版社的邀請,寫文章推薦並導讀史諾登的自傳,因此有機會在這本書出版之前先看到全文,史諾登在自傳裡面寫到:美國對於資訊人員的安全許可身家調查(security clearance) 有相當嚴格的規定,一般可分為三種,信任、機密及最高機密,最高機密等級還可以進階是否符合接觸敏感隔離資訊的資格,尤其最高機密以上的登記申請核准的程序往往會耗費一年以上。

史諾登出生公僕家庭,幾乎每個人都曾經經過麼種程度的身家調查,他曾經從軍報國、沒有前科、沒有嗑藥,唯一的負債是學貸而且從來沒有欠繳貸款的紀錄,雖然曾經有一些亂七八糟的上網貼文,但是在經過三次全範圍的測謊之後,他拿到了敏感隔離資訊的最高等級的許可,他説:「我有深愛的女友,我站在世界的頂端。」

在很久以前的資安政策專家會議,我早就提出這一點的重要性,沒有制度、系統的配合是完全無法管理資訊安全的風險,我想問一問內政部有關晶片身分證的資訊安全政策到底是什麼?理論上全民的個資和公私鑰匙配對的資料絕對屬於敏感隔離資訊,到底是什麼樣的人有資格去接觸到這些資料?對於承包的廠商和相關工作的人員,有做過資安許可身家調查嗎?我當然了解國家的處境,我也當過公務員,知道事情的困難,事務官是永遠不會隨著政黨輪替,提出服貿的事務官永遠也會在哪裡。

但是為了晶片身分證十年更換一次可能帶來的龐大商機,或許可以促進麼種經濟發展,或表面的數位效能提升。上面做決策的政務官完全沒有資訊安全和國家安全的意識,也讓我感到非常的驚訝。總統出訪外交的成就,被國安局帶煙的事件完全抹煞,問題在哪裡?我曾經說過因為該有的革命沒有發生,這是台灣的民主奇蹟,要怎麼樣在短的時間裡面在國安做忠誠考核,在資安做安全許可身家調查?在這樣的情況之下,還可以做出效能遠勝於安全的政策考量?

今天我還是上台北參加資訊安全政策會議
新書已經出版所以重新貼出來