比你稍微快一秒在開始前我想跟委員確認一下該怎麼稱呼呢就叫唐鳳但是我的同事是叫我AU或者Audrey都可以的好沒問題那我們就開始訪談了我們今天很榮幸能夠邀請到政務委員唐鳳來到我們的節目我們來到台灣的自然現況能夠請唐鳳委員和大家打個招呼嗎嗨大家好我是唐鳳Good local time everyone也非常高興有這個機會在podcast跟大家對話今年我覺得在台灣的台灣在自然上算是一個蠻不平靜的一年就是我們發生了蠻多的自然事件從年初的zoom到後來可能總統府招害以及後來的2000多萬比台灣人民的資料外流那麼多的事情也發生引起台灣人民對自然的注意而其中最令我驚訝的算是zoom大家對zoom的反應其實很大聯繫真人都跳出來說話那麼zoom被禁用這件事其實會突顯出政府在數位化的過程中可能會有的自然疑慮那委員你覺得我們該怎麼面對這樣自然的疑慮的產品呢我想我們自己有這樣子一個想法叫做三國無雙這個我們之後可以慢慢的來討論一個是說我們知道之前zoom最大的疑慮就是說他在開會的一半的時候那有的時候可能有一些人的發言就是讓其他的管轄領域的朋友不太開心zoom就會忽然之間把他們的帳號停用然後以至於說這個錄影檔都不見了剛剛我們開始訪談之前雖然我們今天用的是skypeskype大概是不會忽然把我們的錄影檔刪掉的但是希望不會但是除了我們自己的自己電腦裡有一份但是我現在也正在存另外一份到我的備份裡面當然我們在雲端有一份這個就是321備份原則就是說有三個任何你發生的事情然後這三個不同的地方裡面至少要有一個跟你在同一個物理的位置所以常常就是一個是在這邊我的NS坦白來講也是在我隔壁但是雲端是在比較遠的地方所以這件事情可以確保說不會因為突然之間管理階層的改變忽然之間演算法雖然按zoom的講法是他們不小心設定錯或什麼別的原因那這個就是三國無雙裡面三的部分這是一個備份原則是相當重要瞭解當我們在面對這些有資安疑慮的產品時其實有個問題是資安是一個隨時會改變的事情就是現在安全的產品未來可能也會變得不安全因為會有新的漏洞被發現現在危險的產品也有可能會因為被修改或是漏洞的修補而變得安全你在面對這些產品時其實不適合因為它有一個漏洞就永久性的禁止它那我們應該要怎麼去衡量這些軟體的安全性有沒有一個好的方式去審查或是評量它呢是這就是三國無雙裡面的國了嘛那首先就是說我們要確保說如果它是裡面有雲端的成分它的伺服器不在你的競端譬如說我們現在兩個人中間不是點對點的通訊做了一個伺服器這樣的話我們就要了解到這個伺服器到底在哪裡這個是非常重要最好這個伺服器是在國內那當然從你的角度跟我的角度國內目前不是同一個地方但是至少呢它中間的這個海瀾太平洋海瀾等等它不會就是中間被惡意的第三個國家就加以變造等等就是讓我聽不到你的聲音或者把你的聲音弄不見等等但是這個仍然是很麻煩的一件事情所以就是說伺服器的部分以及連線的部分都是要在我們相信是跟我們理念相近的國家當然最好還是在自己國內那這個是三國裡面的國的部分那這個部分呢也聯繫到說我們的這個產品這個產品如果是我們國家的人參與開發的或者是說它雖然可以去進行audit去進行集合又或者說這兩個都沒有但是它是開放原始碼在我們的國內有一個很大的社群能夠去檢視這個開放原始碼這三個不同的情況下你都可以把它看作是比較安全的了解那能不能請委員幫我們解釋一下三國無雙的無跟雙是什麼呢無的部分呢講的就是無痕啊好比像說如果你要參加一個不管是Zoom也好或者是隨便什麼視訊軟體但是你只是一次性的去當一個來賓而不是像我們現在我們加了彼此的skype好友是因為我們要維持一個長期的一個合作或者是你有什麼訊息要傳過來或者我說我要先去拿耳機什麼之類的我們是一個relations但是如果你只是去參加一個活動聽一門課等等其實你是一個訪客你是訪客其實這是一個transaction在訪客的時候我們的建議就是不要去下載任何軟體安裝在你的電腦上因為你下載的時候他就會要求你系統管理員的密碼那這個時候呢這個軟體它未來即使現在看起來沒有自然漏洞未來各種各樣的更新每一個部分都還是有可能造成你電腦裡面你的別的機密隱私資料等等所謂的zero day就是沒有人知道的這個漏洞所攻破嘛但是如果你一開始就是用瀏覽器加入其實現在視訊軟體用瀏覽器加入尤其如果你是訪兵的這個狀態而不是要主持200個人的主持人的狀態如果你是一個訪兵的情況下瀏覽器裡面的體驗不管是Zoom WebEx teams等等跟你開一個那種程式的體驗完全一樣它並沒有任何差別所以這樣子的情況下我的具體建議就會是你用瀏覽器用無痕模式去加入像Zoom也好其他也好有些會要你先去下載它會有一個安裝失敗嗎對不起這段再來它會有一個它會有一個下載按了下載之後就會有一個安裝失敗了請按這邊直接用瀏覽器加入所以你就可以按下載但是不要管那個下載立刻把它刪掉因為是無痕模式所以它要後續追蹤你也比較困難因為無痕模式的夜遷一關掉之後也就一併的抹除了所以如果你是一種一次性而不是長期性的關係的話三國無雙的無的意思就是說你不要去下載軟體也不要安裝軟體盡量擁有瀏覽器的無痕模式就可以去參加了那當然如果你還是要註冊一個賬號的話那你在註冊賬號前一定要確保說它是有雙因素的認證什麼叫雙因素呢就是除了你的密碼之外或者是其他的比如說authenticator手機上面這種6碼不斷跑來跑去的TOPTP的這種東西或者是當然更好一點有Biometric的你的在地的指紋其他也好這種認證方式它是你自己的device上不是人家幫你去認證或者是現在有很多一個小的USB的千張軟體一個token總之你記得的是你自己試的生物的部分或者你擁有的一個token的部分這三個因素裡面至少要有兩個這樣子才能夠去維持一段長期的關係像我的skype當然就是有雙因素認證的了解那我想要和您討論一下的是數位身份證的部分因為今年比較早一些的時候有新聞說要推出數位身份證而也有蠻多的爭議跟討論出現的那大部分都是圍繞在信跟隱私還有各自的議題上面那韋兒你覺得現行的法規下我們的數位身份證夠安全嗎對其實我們的數位身份證簡單的來講就是把現有的紙本身份證跟現有的自然人憑證給你一個選項你可以選擇把這兩個放在同一張證件裡面或者你還是可以在明年換發的時候選擇領兩張然後用一個魔鬼沾什麼的總之就是因為這兩個是在資訊科學或資安上面是不同的事情你的身份證能做的叫做authentication簡稱osn就是一個人要知道你是誰那你的自然人憑證做的是authorization也就是osz意思是說你好像簽名簽一個合約一樣你去授權或得到一個授權然後去進行一個意思表示的一個動作這兩個是不同的概念雖然當然通常你要先osn才能osz那所以在這個情況下這兩個如果放在同一個地方的話那有的時候辦事情就比較方便那但是呢我們這個是opt in意思就是說你覺得比較方便你才這樣子做的你要是不願意的話你完全可以即使是新式的身份證換發之後你可以把osn跟osz的部分分成兩卡取得這個跟現行的法規是完全一樣的了解那我相信政府在未來應該是越來越是維化的過程那會不會現在其實是opt in的選擇但未來會變成一個強制你沒有opt in你反而會很多事不能做呢應該是不至於的那這裡有兩個原因一個是說在我們來講就是政府去對人民透明這個是我們的目的那因為我們是liberal democracy是一個自由的民主制度那所以呢我們的所有的包含我們疫情期間做的事情因為我們並沒有宣布緊急狀態所有的東西都要對立委對議員給的出交代如果給不出交代他們就把我們的預算砍光我們就不能做這件事情啦那所以在這樣子的情況下呢當然就是我們要盡可能對人民透明而人民對政府透明像好比像說數位人民幣這種東西我們是絕對不做的因為對我們來講人民對政府透明這件事情只是增加我們的負擔跟麻煩而已這就像是就是大家信任我們把各資放在我們手上我們為什麼跨部會之間除非依法絕對不會交換大家的資訊要交換也是一些統計資訊的原因就是因為每一個到手上的都會變成未來被審計部務檢查院被立委被什麼東西這些質疑的各種各樣子的一種可能性嘛你手上的各資越多你的風險就越高因為黑貓駭客就越喜歡你嘛所以對我們來講就是最小程度的蒐集最小程度的儲存目的外利用的時候一定要給的出交代這些都是最基本的事情但是當然你有一個很好的一個提問的角度就是說可是目前的法律只說法務部或者是國發會的各自中心有這個解釋啊確保大家能夠給的出交代的這個群線可是呢不管是法務部連證書也好國發會的法協中心也好他們都是一個三級機關而且不獨立意思是說他們的人事他們的預算都是上面的部長或者主委所決定的部長或主委做了一些侵犯人權的事情他到底還能不能揭露呢這個就是一個非常有意思的一個問題所以在歐盟有一個叫做GDPR這樣子一個架構告訴我們說這些機關它不能夠只是一般的行政機關它要像我們的運安會就是以前的肥安會一樣變成一個獨立的機關這樣子大家才會相信說我們政府真的有說到做到給的出交代像本來是肥安會但是後來因為發生鐵路的事故所以變成運安會加上了一些鐵道的民間的專家由他們來檢視我們所使用的這些方式這些資料不會變成像您剛剛講的變成好像政府監控人民變成不是up in的這樣子一種工具所以這個獨立的各資專責機關我們也會在接下來的這個會期就是快要開議的這個會期提出組織法給立法院希望能夠順利的三讀通過了解那我記得委員您之前有在新聞的採訪中的提到我們會請白貓駭客來對這些沒錯系統做測試那這些測試會在測就是我們現在測試階段結束以後還會持續進行嗎就是我們像這個漏洞獎勵機制會一直持續有嗎當然當然只是說可能獎金沒那麼高了那就是說因為那是專門播了一筆預算來當作獎金獵人了那但是隨時好比像說像國防會最近有推出一個叫mydata自然安平證你就可以把所有你存在政府機關裡面各個地方限制包含現實政府你都一次下載到自己的電腦裡你才能夠去行使我們在各自法上面沒有辦法用合約去預先拋棄的包含請求更新請求刪除請求等等的這些權利都是建立在請求副本的這個權利上那以前副本你要一家一家去跑這個很麻煩mydata就是你刷一次自然安平證那你就全部都下載下來了那但是呢就一個民間的團隊在我們這個服務剛上線的時候不久他們就寫了一支誠實後來就發現說好像就是有點怪怪的就是第一次你刷了自然安平證取得了這個token之後這個token你下一次它沒有expire還是可以繼續使用那意思是說本來你授權一次只能下載一次但是呢因為它誠實沒有寫好變成你授權一次第一次還是讓你授權之後等於中間呢如果有人策路了你的電腦的話這個東西呢它就不是一個nonce它不是只能用一次而是變成可以用好幾次那這樣子的話假設你的電腦被什麼惡意間諜軟體攻佔什麼之類而你之後的互證資訊又有更新的話那它就可以在背景的把你的每次更新都下載下來這是一個自然上面的漏洞那所以我一大早這個osme團隊就寫信給我然後甚至還附了一段螢幕錄影證明說它真的有這樣子的漏洞然後我看了之後不到十分鐘我就回信說這個看起來是hikos元件在哪個port的哪一個部分可能有一個問題因為我雖然是政委我也會寫一點程式那然後所以就做了一個初步的分析買data那個服務我們馬上下架中午呢自然處的同仁就直接去跟osme進行協商開會然後到了當天下午就已經修好了這個問題所以重點呢不是說一個系統完全不出問題而是說白貓駭客出現的時候第一個我們真的是去講力它在任何的媒體包含podcast上面都要去稱讚osme的這個團隊然後二方面是說它有一個縱深就是說它突破到這裡之後但它在後面因為那一個後面的系統是用一種不同的方式來進行驗證所以它也不可能好比方去到別人的不相干的自然人品證等等的資訊等等所以我覺得這一部分一方面防禦有縱深二方面要鼓勵白貓駭客多多通報那白貓駭客其實最喜歡的就是像這種五分鐘就回應這樣子的話他們不但是還是有credit而且可以發個CVE一樣什麼的而且他自己也學到說未來在類似這樣子的系統建制的時候他的這個攻擊角度會被我們在預先設想的時候就邀請他來傾向而不是到最後就是出問題了才讓他來發行了解那在使用這些數位平台的時候其實自然上有個很重要的點是取決於使用者本身因為像上個月加拿大政府他們就網站被駭客入侵而他們的攻擊方法就是用蟑蜜填充攻擊就是其實是使用者自己使用習慣的問題但是就會間接的導致他們在政府機關的資料被外洩那當我們不管是政府或是企業在建立一些自然措施的時候我們其實不應該指望使用者會知道怎麼保護自己我們是不是能夠把這些複雜的自然流程很簡化讓其實是阿公阿嬤也可以很簡單的很安全的去做這些數位化的流程或是這種動作呢我想三國就是異地備員跟就是要評估點對點加密他經過哪些國家哪些國家等等這個當然是網管才能做的部分那很難期待一般使用者就能夠去做但是無雙的部分倒是使用者都可以做的就是我們就去宣傳就是沒事不要下載安裝人體你能夠用瀏覽器加入的就用瀏覽器加入瀏覽器有事沒事有事沒事記得開無痕這個絕對是做得到這就像戴口罩一樣我們說戴口罩然後勤洗手那這個就是只有兩個行動那這兩個行動又是連接在一起我們說你戴口罩不洗手沒用你洗手如果不戴口罩的話那也有點危險所以這兩個一起做所以無雙第一個無的部分就是說你盡量開無痕不要亂裝一些有的沒有的軟體這一個那另外一個你剛剛講密碼填充空氣他如果開雙運輸認證也不會發生這種事情嗎所以簡單來講就是說無雙這兩個要一起做這樣子就可以達到最基本的個人保護瞭解那委員剛剛有提到類似防疫的概念但是我覺得台灣目前的民眾在防疫上都有很基本的普遍的認知大家都知道要戴口罩清洗手之類的但在資安上其實很多人會不知道怎麼做我也不知道從何開始那我們有沒有辦法就是很全面性的幫大家建立一個自然的危機浴室教大家怎麼做這些事呢就是不要讓大家到真的被害了才開始知道自然的危險性跟重要性對啊確實是說不定可以跟日本做一個區域合作請他們的那個光榮還是任天堂什麼把三國無雙重新包裝成一個自安漫畫對 但這個確實是傳播就是戴口罩清洗手的這件事情也不是一開始大家都知道的一件事情戴口罩不洗手沒用這個概念我們也是花了非常多的時間請專業的一隻柴犬叫做總柴然後用了非常漂亮的這個圖那這個是建立在比如說機關術本來就有一個就是把所有的疾病擬人畫那個很漂亮的那個月刊上面那所以簡單來講就是說你要一個很棒的一個會師然後要有一個很有梗很有柴的小邊然後這個防疫期間嚴禁吃手熟什麼之類的對而變成有記憶點的東西那這個就是需要美術的人員需要新聞工作者那需要當然專業人員在後面發生就是說我們的想法你如果想要進一步了解的話我們有更進步的專家的管道可以讓你咨詢至少可以大概1922等等這些是每一步每一步都要佈局在一個我們叫做跨領域團隊裡面才有可能去做出一個R值大於一的這個所謂的Public Awareness Campaign就是讓大家都知道要戴口罩請攜手的這樣子一件事情所以我也不知道這個誰比較適合來宣傳這個真三國無雙那我們這個也可以一起想一想了解那如果民眾想要認識更多想要學習怎麼保護自己想要學習自然上的姿勢那他們有什麼管道或是該去哪裡學呢對當然就是說我們本來就有一個資安的一個素養導向的一個叫做資安的一個素養網叫做全民資安素養網這個是有教育部所維護的包含兒童青少年家長跟大眾他的網址叫做isaf.moe.edu.tw這個是最最最基本最初階完全不假設你會任何先輩直視的這樣一部分那其他的可能就是更有興趣專業者就是還沒有到完全就是做職安專業但是會對專業有興趣的這些朋友的話那我是滿就是推薦來聽這個像自然解壓素的這一類的 podcast謝謝你的推薦那我自己在面對自然的時候其實會有個想法就是我們一般在講人權的時候會講到生命自由跟人生安全但現在環境跟時代其實不太一樣大家花很多時間在網路上那你們之前也提過可能會把網路算為一種人權那我們是不是也可以類似延伸然後把自然也算為一種人權呢然後變成一個更基礎更全面性的由政府來主導然後確保所有人的安全性呢當然就是我們在就是憲法上面第十二條本來就規定說人民有祕密通訊的自由他並沒有認為說這個通訊雖然當時寫憲法的時候他們想的當然可能是我不知道信封這個如果有風險不要被猶猜拆開這一類的東西但是這個是一個夠廣的一個概念就是讓人跟人之間得與通訊的這個系統他必須要保障我如果覺得我現在講的話只有你可以聽到的話中間不要被誰篡改不要被誰監聽監看或者是說不要變成是誰按一個鍵我們就講不下話了所以包含通訊的有對象時間 方式 內容都有不受國家或者其他的個人也好組織也好任意侵擾這樣子的一個權利所以我覺得這件事情當然是非常重要的我也不是認為說好像憲法沒想到這個我認為憲法已經有想到這個現在只是說我們透過像自通安全法這些立法或者接下來希望可以也在立法院提出的數位通訊傳播法很基本的法律來確保這些自由得以達到那當然除了作用法之外組織法也是很重要所以剛才講到的獨立的各自的專責機關或者未來的數位專責的行政相關的一些機關或一些制定政策的這些機關所謂數位專責部或會或院等等的這些東西這個當然在組織法上的支持也是非常重要的我們的組織法跟我們的作用法加在一起我們才能夠確保是我們每天在使用的這些通訊演算法是為社會為憲法的目的所服務而不是好像是演算法去凌駕了作用法了解那可是我覺得現在目前的問題可能就是假設我的email被害了那我其實會籌注無門我可能就只能去寫信給Google請他幫我取回我的email那我其實我沒有太多其他的事或是申訴管道可以去做那可是你可以報案可以打125這個部分的話警察會幫我們去做處理嗎就是他會幫我們去取回比如說取回我們的控制權或是去尋找駭客源頭之類的動作嗎當然當然這個本來就是我們警政署就是而且他們有專門的就是進行這一方面科技犯罪等等的一個unit那現在當然就是說在以前確實像你提到這些大的這個他要不要叫做主權可能有爭議但是一定有治權的這些公司包含Google或者是facebook等等當然跟我們的司法體系中間的互助確實是有一些磨合的這個空間但是在最近可能兩三年以來可能也是因為他們發現台灣在這個地緣上面無可取代而且這邊也變成他們一些主要的研發的總部已經不再是以前只是他們的一個市場而已了那所以這個部分已經現在是進入家境瞭解所以如果民眾真的發生了資安事件是可以透過撥打125來尋求政府165尋求內政部警證書瞭解那我想請問一下如果有聽眾有興趣投入資安的產業想要為台灣的資安貢獻的話那政府方面有提供哪些的管道或資源可以幫助嗎當然這個有很多我們現在有很多的地方已經在開資通安全相關的學分學程所以如果你是就是正在就學或者是對於重新進入學校有興趣的話那這個是幾乎保障就業的一個學程因為在這個實際上面產業界的需求是非常非常的一個大那當然就是除了資通安全本身就是你對這個學問本身有興趣的話目前的不管是資訊管理資訊工程人工智慧等等這一部分他也都必須要瞭解基本的資通安全的原則原理他才能夠把他自己在資訊方面的工作做好那所以也許你也可以去往這個方向去想那這一部分就更多了就包含終身學習或者是一些就是網路上面的授課這些都大概都可以很容易的就是透過找一些關鍵字就可以去找到但是我想在台灣因為我們的狀況跟其他國家的這樣的一個方式就是大家解的並不是什麼練習題而是整天都有實際的這個資安事件可以讓大家去進行研討去進行觀摩或者提出來當做podcast討論的這個題目那我覺得這也是很棒的就是即使你現在的工作比較在我們所謂的傳統的製造產業等等我們也有很多工業控制系統那邊的資安也是很重要的不是只有我們剛剛講的好像比較是軟體通訊在哪一個方向工作那個方面現在因為數位轉型的關係萬物聯網的關係也有他自己獨特的自然問題所以你不需要一定好像跨域跨到這個純軟的這邊才能夠研究自然那個是你對演算法什麼有興趣你也可以在你本來的可能比較是製造業中小企業服務等等的這一部分專門去研討這個部分他的自然這樣子也很不錯了解好那我們再來訪談的最後我想要請我們的委員推薦我們民眾一個工具來幫助他們日常上的資安呢好這是非常好的一個問題那當然就是三國無雙的那個雙是最容易使用的那我用的是authenticatorGoogle Authenticator那只要在你的手機上面有下載這個的話你在很多的登入的時候他就會要你啟動兩階段認證那這個呢是我自己運用的那當然也不至只有Google有很多家都使用這個但是我覺得他的icon比較好看那所以我就是採用了Google Authenticator來進行加強的安全防護了解好今天非常謝謝我們唐豐委員來到我們的節目分享一些台灣自然的現況好希望未來還有機會的話能夠再邀請委員再來我們的節目跟我們談談自然好非常感謝謝謝大家聆聽祝大家生生不息繁榮長勝嗯好謝謝委員謝謝那就這樣囉好謝謝那我再把我的local track寄給你沒問題那我就直接寄在這個track好 沒問題謝謝 拜拜