我們今天來到行政院拜訪政務委員唐鳳唐鳳委員是台灣最年輕的數位政委同時也是G0V臨時政府的核心成員一起來他投入了公共事務、社會創新以及資訊科技的推廣應用從一名駭客到政府官員唐鳳串聯了科技與民主結合了公民社會與政府團隊讓更多的智慧與力量有更好的結合讓我們請歡迎數位政委唐鳳唐委員你好你好現在世界各國都在面對武漢肺炎的疫情竟然傳出美國衛生部遭駭客攻擊這個消息引起我們自然界的一片嘩然因為一旦醫療院所被攻破網路停擺就很造成反應整個工作的停擺台灣其實處於是一個非常嚴峻的環境行政院政術處長簡彰表示台灣遭受境外攻擊的次數美國會高達3000多萬次所以想要請問您說台灣政府現在對於無論是衛福部或者是疾管署或是各大醫療院所有沒有相關的一些防禦措施行政院成立就是國家自動安全匯報到明年就滿20年所以這是一個非常長期的對策這20年來其實您剛提到的醫療當然是其中一個部分但是舉凡通訊 金融等等部分其實都有非常多的攻擊剛才講的就是每個月3000萬次那個是實際著手攻擊如果是以外部掃描來講的話每個月是接近2億次所以其實是真的滿多的當然在這麼多次的攻擊裡面我們以去年來說三級的資安時間大概只有11件所以表示說我們的資安防護是有一定的成效所以雖然您剛講是很嚴峻但是在可以控制的範圍之內目前我們大概是從深度廣度 速度這三個不同的維度來試著讓這個資安防護不是只是好像我們在政策上面說要做而是它能夠深化內華到每個人的意識裡面所以您剛剛特別在講的就是在醫療方面醫療方面有一個叫做HICAC的這樣一個體系這個體系其實是自動安全匯報裡面自動安全防護組它本來就有一個所謂的資安外部集合的這樣子一個程序所以每次集合的時候就會找出這個受集合的機關它應該要改善的一個事項那因為自動安全法實行之後本來是比較像是技術執行面的這樣的集合從今年開始就變成政策管理裡面來進行集合所以如果沒有辦法落實在管理法沒有辦法做到政策有一致性分層管理等等這個外部的集合機關就會說那你應該改用什麼什麼樣的方法所以這個HICAC的機制其實在去年有醫療體系遭所謂的勒索病毒攻擊那一次就是透過HICAC的這個機制一次就全部通知各個醫療院所的自然專責人員那就很有效有降低受害情形那現在其實武漢肺炎的疫情不斷升溫那企業為了降低群聚感染的風險所以慢慢在實施可能人員在家工作或者分流這種措施但是這樣子的措施是不是也會給HICAC開源還大漏洞造成可能很多自然攻擊的事件發生那你認為說企業該怎麼樣提前去預防這些可能會發生的自然風險是 我自己遠距工作大概有20年左右的經驗所以當然他除了說減少因為實體接觸造成群聚感染等等他其實有很多別的好處譬如說開會就不會開那麼久或者是說他可以讓每個人他在工作的時候更能夠照顧家裡等等但是確實大家最擔心的就是自然這件事情因為重點還是成員的自然意識不然的話這個組織總部他買了最好的自然的軟體如果貿然開放但是成員自己的自然意識不足的話那他自己就會挑選自己喜歡平常用的雲端的應用程式協同的作業軟體等等那組織是完全不知道的在這樣的情況下這樣子所謂我們叫out of band就是在組織所規劃以外的視訊會議共享檔案等等這個就馬上有可能造成資料的外洩所以我想組織在規劃遠距工作的時候最重要就是在管理面先理解就是成員到底會需要使用哪些服務然後確保說組織已經有能夠因應這些需求的一些軟體服務而不是讓成員自己再去找就是外面的服務那這樣子的話如果大家都能夠覺得說那組織所提供就已經滿好用的這樣子網路環境的安全才有著手的一個空間包含連線的網斷授權限制送到資料存取去完成記錄這些集合的軌跡自然監控等等這些才不會變成自然攻擊的破口但是如果組織沒有辦法回應成員的需要的話不管這邊規劃再好他就是找一些別的東西用了這樣子組織反而是完全是在暗處沒有辦法去防禦那現在其實是一個資訊公開透明的社會那民眾可以透過網路獲得他們所需要的各種大量的資訊但是我們知道網路上其實充斥很多假訊息跟假消息但民眾可能不一定有能力去判斷說他們獲得的資訊是真的還是是假所以您認為說這兩個部分您認為說政府在打擊假消息跟假新聞這部分跟維持我們的理論自由新聞自由上面怎麼樣維持一個很好的平衡點那再來就是民眾要怎麼樣去確定去判斷說他們獲得資訊的真實性如何是我想我們是不會所謂打擊這個假新聞在那裡我是絕對不用的那假訊息其實就是假的資訊跟假的消息的合稱所以講假訊息差不多就夠了那我們在假訊息的危害方式方案裡面有一個很明確的定義就是簡單來講是所謂的惡假害它就是分別是從動機內容跟影響它的動機是故意的它的內容是虛假的它的影響是造成公眾的危害或者損害這三個要同時滿足它才是滿足我們叫做假訊息的定義所以簡單來講當我們看到假訊息的時候它跟新聞工作事情完全不相干的新聞工作它至少經過事實還合的程序的話它是不會落入所謂的假訊息這個方面那如果這個冒充是新聞所謂內容農場等等那當然還是有可能是在假訊息的範圍裡面那我們處理的方式都會分成兩組一組叫做視假跟迫假這個是在公民識讀的部分跟即時澄清的部分它的危害還沒有發生那第二個在異假跟成假就是它已經發生了你要怎麼抑制它的危害所謂的減災那或者是說要懲罰這個實際上面去有意的去散播這些訊息的朋友那在視假跟迫假方面其實我們的成效是滿好的教育部在去年5月就已經成立了媒體素養的推動委員會那媒體素養教育的行動方案也是去年7月就頒布所以呢不管是我們現在新克港中小學課程裡面科技資訊與媒體素養這個是九大素養之一那而且呢我們新政院有的公務人員發展學院也不斷的在開課包含網路娛樂識讀維印啊防止假訊息策略啊等等確保我們的公務人員對於假訊息能夠及時的這個應處那這個即時澄清機制呢大家都有看到說政府各部會的小編現在都掌握了所謂民營工程的這樣子的能力就是說就是動不動就可以做出比謠言散播的還快的真實的這個狀況啊那像什麼這個耶利卡城啊什麼之類的都非常的國際知名了那這一部分當然是靠公務人員的素養那二方面我們也靠中立的第三方事實差合的組織來提供民眾的即時訊息就是您剛才說的好比相說台灣五個主要的網路平台Facebook, Google, Line,PTT已經共同訂定一個叫不實訊息防治的業者自律實現準則所以這兩年以來他們都跟一個叫台灣事實差合中心是由媒體觀察教育基金會跟優質新聞發言協會一起成立的這樣子一個叫TFC的一個組織那它是國際的事實差合聯盟RFCN所認證的一個第三方事實差合機構所以只要去在TFC可能訂閱啊或者是你透過Line的這個官方澄清的BOT或者是說現在趨勢科技有一個防詐達人有非常多管道讓大家能夠及時接取到這些澄清的工作那當然一家跟成家的部分這個主要就是羅秉辰老師國務院政委在負責那包含參考法國的反資訊操作法去提出像總統副總統選舉法免法跟公職人員選舉法免法的修正草案好幾波的修法通常會有一個事實差合證的參考原則在民眾申訴之後目前採取了六件案件等等不過那一部分我就比較沒有參加所以一趟說機器先停嗨三二那想請問委員如果一般的民眾在LINE上面收到一些訊息那他要怎麼樣去確認說這些訊息的真實性是其實我們在二月的時候美國在台協會就是AIT有跟就是美國的全球參與中心他是國務院的一部分叫GEC跟台灣這邊一起辦了一個叫美台科技挑戰賽就是為了要解決你們剛剛講的這個問題就是一般的LINE的使用者他沒有那麼容易說一個一個都要去轉傳查證還有開社訓行等等我們也邀請了包含以色列澳洲多國的隊伍那次挑戰賽得到第一名的就是趨勢科技的防炸達人他本來其實不是用來處理假訊息的他本來是用來處理詐騙的就是趨勢科技的劉彥伯跟幾位工程師的同事都有自己碰到過詐騙那所以呢他碰到過之後就決定用下半時間自己來開發這種防炸的工具那他的好處就是說你轉傳的時候不一定是文字他有時候詐騙是一個圖片是一個影音是什麼東西那他都是可以去進行掃描所以呢你要做的事情就不是一一的去轉傳給他你可以直接把防炸達人邀到你的號碑上說聊天的群組裡面他就像趨勢科技的防毒軟體一樣會每一個新的訊息來的時候他就先掃描過資訊之後他就會跟民間的好像做一個叫真的假診或者一個叫麥克風等等的這些去接洽使用的資料那包含我們外交部衛福部機關署食藥署警察局包含刑事警察局這些機關都會把及時的這些詐騙的事情去藉劫到這樣子一個防炸達人所以你只要把他加入群組就等同於把剛剛講的這些資料協力夥伴一起加入這個群組他就會及時的去申請那個不好意思你可以申請丟我家不好意思沒問題我可以重講這讓我可以revo好那我們就再重來這再重來再重來沒關係可以關了烤箱沒關係沒關係一半而已再來一個手板新也來新也來新也來新也來新也來新也來新也來新也來新也來4 3 2那想要請問維園如果一般民眾在LINE上面收到一些訊息他要怎麼樣做才可以看到這些訊息的真實性是這個題目其實就是我們今年2月的時候包含美國在台協會AIT跟美國的國務院全球參與中心GEC跟台北這邊的朋友們一起辦了一個叫做美台科技挑戰賽就是要解決這個問題那我們邀請了包含台灣以色列澳洲等等多國的隊伍那獲得第一名手獎你最能夠解決這個問題就是趨勢科技的防炸達人那防炸達人他其實是一個LINE的機器人他的這個作者劉彥博跟一些工程的同事其實就是自己遭到過詐騙所以他們就去看詐騙的各種形狀他不是只有文字而已也包含可能一些影音圖卡等等都是詐騙者會使用的這個手法雖然就還要擴增到假訊息的這個防治上面那當然要怎麼樣知道這個假訊息他們除了跟民間好像是一個叫真的假的或者是Megapen這些朋友們合作之外也跟政府單位包含外交部我們機關署實藥署警政署的行事警察局等等去藉劫所以呢你只要把防炸達人邀到你的群組裡面他就會像趨勢科技的防毒軟體一樣每一個訊息來的時候他就掃描一下等於就一次把所有這些資料股藉劫到你自己的這個對話群組裡面在過去一個月裡面他們就判斷了超過4500萬筆的資訊也成功回應了超過100萬筆的假訊息跟詐騙資訊所以教授每一個群組要邀請他進來是不是就先邀一兩個然後試試看這個使用者體驗怎麼樣在其他的群組也許你還是可以單點的轉傳給他每一個群組對於這樣子邀機器人進來當然接受程度不一樣所以就是先挑一些比較能接受的OK那另外資訊媒體IT Home每年會針對企業的自然狀況來做一個調查那去年的調查其實我顯然是有超過五成的企業認為說他們的自然的風險來源最主要就是來源是員工那請問你認為說為什麼員工會是企業認為最主要的自然風險來源呢對其實隨著科技進步許多的組織他都已經高度地使出偽化所以導入相關自然管理制度尤其你用的這些雲端系統的話它常常就是這個威脅攻擊防範本來就是它的這個套件裡面的一部分但是其實不管你的制度在完善還是需要人來為運要有人為介入的環境那就會有蓄意的風險以及疏忽的行為這兩種狀況存在所以不只是員工我想領導者在內跟全體成員他們的自然認知跟能力是不是充足就是組織能不能夠因應自然風險的一個主要的因素那根據國際黑帽泰克大會的調查各種泰克的手法當中又以釣魚油箭或是一些社交工程的攻擊方法是最難防範作用的忽略但是可能會造成最嚴重的損失請問你認為企業怎麼樣去防範這些很危險的黑帽泰克攻擊包括了釣魚油箭或是社交工程的一些攻擊我想釣魚油箭特別困難防範的原因是因為人們對電子油箭就是有一個好奇心然後容易疏忽的特性那只要這個所謂的spear fishing就是魚叉式的釣魚油箭它不是每個人都撒一樣的詢息它是專門針對這個組織裡面特定成員的電子油箭形象去製作出一個很逼真而且跟它業務顯然相關的這樣一個電子油箭這樣子它點開附件檔案跟連結的戒心就會比較低那這樣子的話當然就像您說的會對組織造成重大的危害那這裡面大概有兩個方式一個是說組織需要長期性持續性去進行電子油箭的社交工程的演練工作那在我們行政院裡面我們隨時都會接到這個自安處或者資訊處等等的這些魚叉式釣魚油箭只要按了它就說我自己了這個需要來進行一些訓練講息等等所以現在大家的習慣都很好譬如說載入遠端內容都會關掉等等那這個是第一件事情就是去養成自安認知跟習慣的養成那第二個也可以去考慮說如果你非得用電子油箭不可的話也盡可能的用有電子簽章的電子油箭好比方說我們的emask口罩系統不是有機電子油箭給你說你可以上去查詢你的訂購記錄嗎等等那那個如果看到一個小箭頭你按打開它是有個綠色的盾牌表示說這封信是用gmail做認可的smyme來簽章的那如果組織裡面非得用email當做自己的內部溝通的話去導入某種電子油箭簽章的技術這個也可以一定程度上面去防範因為畢竟如果組織裡面有些人用有些人不用那你不用的還是非常容易被當做那個電子釣魚油箭的那個機箭人嘛只有大家都用的時候你才可以提供對於企業來說可能受限於預算的考量或是主事者他們的觀念比較傳統一點點他們對於資產可能並沒有那麼的重視所以他們對於環境的整個建制可能是以防火牆或是防毒軟體這種比較基本的防護為主那對於剛剛我們談到的人員的資產意識的培訓可能沒有那麼的重視那你認為說除了政府強制立法企業可能一定時間內要做市交工程演員之外他們有其他方法可以提升企業對於人員培事的培訓我想一方面就是說這邊所謂主動式的一些防禦像剛剛講的做一些演練或者是叫做3 Huntsing就是說一旦有被攻擊的機箱就趕快去找出來等等這些當然對很多企業來講都是所謂的痛頂思痛就是你真的要碰到一次資產狀況這個主事者才會花很多的力氣下去做那但是其實從主事的角度來看這個其實這個文化真的必須要從領導者就能夠落實因為其實你如果領導者他開太多權限給領導者的話就算他平時其實不會看到這麼細的系統但他擁有這些權限事實上對一個攻擊者來講他才是最弱的那一環他才是我最應該寄掉油箭的人所以你不管訓練再多所謂的組織成員等等其實如果領導者自己沒有自然意識的話那他自己就是最弱的那一環所以我想就是也是透過你們的媒體讓各個組織的領導者理解到這件事情就是說如果你自己的自然習慣可能沒有辦法一下子培養好的話那也許你也不一定需要每一個系統的所謂的超級使用者的這個權限這個所謂的分層負責其中也包含說並不是說這個組織的領導者就能夠看到所有的系統這樣子如果他自己的電子油箭不幸輪線的話至少他的攻擊表面是很有限的那你認為企業在針對他們員工的可能培訓上面有什麼方法可以讓他們有更強調更關注這一點其實就像我們自己以行政員來講其實像剛才講的所謂的全年演練的這個方式其實真的是很有用因為包含實兵演練情境演練這些其實從自然數的角度來看他都是直接去邀請產學員代表相關機關去攻擊各個不同的這個政府機關所以你沒事就會被其他的機關的這個白貓駭客所稍微集合一下那尤其在最近每兩年會邀請國外的專家來參與觀察跟提供建議那相信大家在報紙上也有看到就是說這些所謂的紅隊跟防守的所謂藍隊他的重點是最後的那個Purple Teaming就是說你一次性的請外面的朋友們好來做一個集合真的打下來了但是如果你的防守方沒有一個很明確的了解到攻擊方式怎麼思考的話那你就算這次把所有的肉肉補上了下一次他就在挑一些別的角度所以最重要的還是Purple Teaming就是說你這樣子邀請來的這些士兵演練或情境演練的朋友必須要做下來一步一步的去訓練你的防守人員也能夠像攻擊者一樣的思考這件事情只要做一兩次我覺得就會相當大的效應但是企業他們可能目前還沒有受到這些攻擊或是還沒遇到那他們可能對於這方面就比較沒有那麼多的關注那我們從統計者看到說其實如果遭受事要攻城演練攻擊事要攻城攻擊的話每一次都會損失大概10萬美元的這種金額但是企業如果沒有遇到的話他們可能就並不會那麼的在意所以你讓我說萬一企業真的沒有遇到但是他們要怎麼樣做才會去提前去預防其實我覺得您剛剛講說沒有遇到也要分成說他真的沒有遇到跟他有遇到還是還不知道這兩個情況那要怎麼樣區別這兩個情況其實就是自己做一次集合先行一個紅隊來這樣子打一下那這就是為什麼在行政院這邊我們對於所有的這些信心計畫我們都去專門把5%到7%的預算就是去做這些滲透測試就是去做這些攻擊那就算那個機關現在不太知道說我5%到底編起來要做什麼至少你就是請能夠給你這個意見的機關自己已經做的集合比較好的自動安全管理法已經做的比較好的機關來給你一些具體的一些建議所以我覺得先把錢匡出來然後到底要用怎麼樣的方式做滲透測試做實在的攻擊測試等等去參考在你的這個同業裡面或是你同一個集團裡面做的比較好的朋友的意見但是我想把錢匡出來這件事情就代表領導者的這個意志如果沒有這樣子匡出來的話你臨時碰到了再去找錢再去補破房等等其實往往都是換不及急那我們今天感謝塔公園接受我們的專訪謝謝塔好 謝謝謝謝大家謝謝