◆ 科技.人文聯合講座/勒索軟體肆虐 莫作待宰肥羊
◆ 資安即國安 數位部知漏洞嗎
◆ 北韓射衛星 「核武器之眼」威脅和平
◆ 詐騙犯罪低齡化 新國安危機
◆ 侯康起手式 先破心中賊
◆ 企業走向國際 遵法方能永續經營
◆ 蔡英文總統論文讀後感(上)/我兩度赴倫敦政經學院借閱 2019-09-18 18:22
◆ 蔡英文總統論文讀後感(中)/外殼燙金 內頁像傳真紙 2019-09-18 18:32
◆ 蔡英文總統論文讀後感(下)/兩種編排有異 畢業35年收到 2019-09-18 18:32
科技.人文聯合講座/勒索軟體肆虐 莫作待宰肥羊
2023-11-29 05:25 聯合報/ 趙坤茂(作者為台灣大學資訊工程系教授)
身處數位時代,當我們從事網路活動時,隨時都得提防網路暗黑勢力的滲透與侵擾。畢竟敵暗我明,明槍易躲,暗箭難防,即使極具規模的公私機構,面對炮火猛烈的網路攻擊有時也難逃一劫。
全球銀行總資產排名第一的中國工商銀行在紐約的分行,本月上旬因為 LockBit 勒索軟體攻擊,使得電腦交易系統癱瘓,並被索取贖金。該分行緊急阻隔受駭系統,改採人工交易及繞道交易應變,以免災情蔓延到其他主機。不過,由於某些債券交易無法即時清算,竟連帶導致規模高達廿六兆美元的美國公債市場暫時中斷交易。此一金融失序事件,讓人再次見證網路攻擊的殺傷力道足以牽一髮而動全身。
類似的網路勒索軟體攻擊事件層出不窮,例如七月時,日本名古屋港口因運協電腦系統遭受勒索軟體攻擊,使得貨櫃裝卸停擺兩天。又如本月十日,澳洲雪梨、墨爾本、布里斯本、費里曼圖的港口,因杜拜環球港務澳洲分公司遭到駭客攻擊而停止岸邊作業數日,冷藏貨櫃的醫療用品與龍蝦和牛被凍結在港口動彈不得。如今,我國科技大廠與醫療機構等關鍵設施,也常常是勒索軟體鎖定的攻擊對象,可說是四面楚歌,八方受敵,大家必須全面戒備。
LockBit 是惡名昭彰的網路犯罪集團,不僅運用其所開發的勒索軟體攻擊各大企業,同時也以租用抽成方式提供客戶勒索軟體服務。它們通常採用雙重施壓敲詐策略,一方面將受駭系統的檔案資料加密鎖住,讓系統所有者無法讀取;另一方面,它也威脅要將受駭者的系統機密資料外洩,讓世界所有人皆可讀取。
LockBit 宣稱這次網路攻擊已取得贖金,而中國工商銀行則未表態,究竟真相如何,恐怕不得而知。其實,支付贖金未必能解決當下燃眉之急,反而可能讓苦主被鎖定為不斷勒索痛宰的肥羊,更何況付錢給歹徒等於是變相支助勒索軟體服務,未來將衍生更多受害者。因此,就算無路可走,也要壯士斷腕設定停損,切莫隨歹徒起舞而讓惡勢力坐大。值得慶幸的是,雖然近年來網路攻擊事件增多,但支付贖金的比例已呈現逐年下降的趨勢。祈願未來能持續下降,一旦支付贖金的比例歸零,網路勒索軟體組織就難為無米之炊了。
然而,不甚樂觀的是,網路資源四通八達,勒索軟體組織的攻擊代價愈來愈低,而公私機構的防禦代價卻愈來愈高,這是一場不對稱的網路攻防戰爭。不僅如此,電腦系統受駭後的修復曠日廢時,正如同「傷筋動骨一瞬間,傷筋動骨一百天」,瞬間傷害需要百日療養,種種艱辛只有過來人冷暖自知。
我們不禁要問,在未來的網路攻防戰事中,是否存在無堅不摧的奪命矛頭?抑或有無尖能摧的保命盾牌?無論如何,當我們在網路匍匐前進時,還是先把鋼盔戴上吧!
資安即國安 數位部知漏洞嗎
2023-11-29 05:24 聯合報/ 夏延德/中原大學資工系兼任教授(新北市)
防駭與反駭,指的是有效偵測與對付駭客網路攻擊及網路竊取資料(包括適度反擊),防偽指的則是有效偵測「偽資訊」(包括使用軟體所製作、合成或修改而得之聲音與影像)。
「防駭、反駭與防偽」不僅是社會有需求,連數位部都有需求;以「數位政府化」為例,數位部若真要實現數位政府的理念,必須先證明政府(以及政府將提供資料給它的公民營機構)確實可做好防駭工作(如果還能做到反駭當然更好)。
「網路通訊的韌性」也一樣,若兩岸真的發生衝突,數位部不僅要「變出」某種備用網路,也要能有效對付對方的駭網戰術以及各種偽訊息才行。
數位部轄下有國家資通安全研究院與資通安全署,前者負責資安科技的研發、移轉與應用,後者負責國家的資安防護;在防駭部分,資安署只負責「國家關鍵基礎設施」(資安署組織法第二條第三項),並由資安院提供協助(資安院組織法第三條第四項);而資安院本身也只負責支援「具有特殊敏感性之政府機關(構)」(資安院組織法第三條第六項),對於一般政府機關與公營事業機構,資安署的作法是:對相關(資安)人員作教育培訓並考核其業務。
當然,這種安排不能說是不合理,問題是:不管是資安院還是資安署、好像都沒有向社會大眾完整交代過當初那兩千多萬筆戶政個資是怎麼被駭出去的。「兩千多萬筆戶政個資被駭」,代表之前政府機關與公營事業機構的資安措施有漏洞,請問資安院與資安署知不知道這些漏洞是什麼?又請問資安院與資安署如何能確保目前(希望是針對先前各個漏洞改良過的)資安措施沒有其他漏洞?
理想上,希望資安署在查核資安業務時不要只是單純的檢查負責人員的各種作法,資安署或資安院最好能找來部內的白帽駭客,地毯式地一個個網站檢查(即作入侵測試),這才是可以確保沒有任何已知漏洞存在的辦法!
至於民間各單位的防駭措施、監督與查核,確實是個問題,但政府不能不管!然而,談到對民營事業與機構、甚至自由業從業人員防駭措施的監督與查核,目前所能看到的只有:資安院可以「協助規畫及培育資通安全專業人才」(資安院組織法第三條第五項),而若「(民間)產業(對)資通安全(有)重大發展之需求」,理論上資安院也可提供「支援」(資安院組織法第三條第七項)。
除此之外,政府所做的就只是在確認民間企業被駭之後「可能」作出懲處,但這種事後懲處的做法根本就只是沒有辦法的辦法而已!在這種狀況下,請問政府如何能確保當一切資料被數位化與雲端化後,各種由政府所提供給民營企業專用的資訊不會被駭?政府不能永遠都只是在出事後,以罰款與要求限期改善了事!這並不是負責任的作法!
資安即國安!數位部應該要將「防駭、反駭與防偽」列為整個數位部的工作重點才對。
北韓射衛星 「核武器之眼」威脅和平
2023-11-29 05:24 聯合報/ 康埈榮/韓國外國語大學教授、東北亞未來協力論壇會長(韓國首爾)
北韓(朝鮮)廿一日發射軍事偵察衛星後,僅過一天又發射了彈道飛彈,韓半島又陷入了軍事緊張的巨浪之中。
作為應對之策,韓國(南韓)則宣布對民國一○七年(二○一八年)簽署的《九一九南北軍事協議》,停止其中限制韓國監視、偵察能力的「禁飛區」效力;而北韓就乾脆宣布全面廢除該協議。同時,北韓還開始了最前線監視哨所的復原工作,運進了重型武器,加上西海岸一帶海岸炮陣地的炮門開放次數也大幅增加。韓半島休戰線及空中和海上緩衝區域也將消失的可能性大幅增加。
北韓發射偵察衛星的理由,首先,金正恩急於實現提高核高度化、提高偵察監視能力、建造核動力潛艇等三個目標。一旦確保了被稱為「核武器之眼」的偵察衛星,就可掌握美國在韓半島、日本、關島等地的重要戰略部署情況,消除內部不安,且按需要還可制定直接打擊計畫。
第二,衛星發射本身可以包裝為保障金正恩體制穩定的成果,用於內部團結。金正恩體制早已徹底迴避民生問題,加快增強軍事力量的步伐。 在需要向民眾、軍部及菁英們展示一定成果的情況下,軍事偵察衛星發射對鞏固體制有明顯價值。
第三,通過擁有偵察衛星,最終提高核武器和飛彈運用能力,鞏固追求擁核國之地位。此舉不僅為了提高與美韓日等的協商能力,還為了吸引中俄合作,構築韓美日對朝中俄的新冷戰格局,確保擁核的正當性,是一種擁核國地位的宣言。
當然,也有人主張,北韓有開發衛星的自由,且通過偵察活動可得知他國的軍事應對狀態,因此實際挑釁的可能性會減少。但這是本末倒置的判斷。
首先,北韓發射「千里馬一型」火箭,明顯違反聯合國安理會禁止彈道飛彈技術的決議。而且北韓在民國九十二年(二○○三年)退出《核不擴散條約》後,無視國際社會的警告和憂慮,獨自進行核武開發,正面威脅國際社會的和平安全。
第二,在核擴散方面,北韓疑與另一個擁核國俄羅斯合作。此次發射偵察衛星是確認朝俄軍事技術合作的第一個事例。公開宣布追加發射衛星,使朝俄軍事合作範圍有可能進一步擴大,並通過一定的技術進展,直接影響提高朝核和飛彈的高度化。
另外,在聯合國安理會對北韓制裁問題上,中俄主張「美國責任論」和「制裁無用論」,未採取任何措施。這可能導致北韓的偶發性挑釁和實有衝突意圖之挑釁均得到實質默認,並成為威脅韓半島乃至東北亞地區及世界和平的不安因素。
韓美日為應對此挑釁,廿六日在濟州東南方公海上進行了聯合海上演習。聯合國祕書長古特瑞斯也強烈譴責,稱發射軍事偵察衛星違反了安理會決議。安理會雖召開緊急會議,但很難期待,因為要想在安理會通過新決議,美英法中俄五大常任理事國中任何一個都不能行使否決權。
中方的態度一直不明,在釜山舉行的韓中日三國外長會談中,仍強調中國在韓半島問題上一直發揮建設性作用的老套話,並強調南北韓的相互責任,提出要保持冷靜和克制。
但北韓此次發射偵察衛星,是為了提高朝核的高度化而進行的新嘗試,是對世界和平的挑戰。不能給朝鮮製造故意衝突的藉口,相關國家應集思廣益,避免其反覆「得寸進尺」的現象。
詐騙犯罪低齡化 新國安危機
2023-11-29 05:24 聯合報/ 林滄崧/台灣警察學術研究學會會員(台中市)
當我國面臨少子化現象後,政府即把少子化視為國安危機,衛福部也成立「少子化對策辦公室」以為因應。不幸的是,少子化理應可以將國家教育與照顧年輕人的資源集中,培育出比以往更優質的青年與少年,但觀察近十年來詐騙案件的發展趨勢,除了大量化與惡質化外,更呈現一幕令人吃驚的低齡化現象。若少子化算是國安危機,那麼詐騙犯罪低齡化更是危機中的危機。
依內政部統計顯示,近十年來我詐騙背信青、少年犯罪嫌疑人從一○二年的六,二五一人提高到一一一年的二二,三四七人,足足成長了三點五八倍。這種犯罪倍數的成長在各種犯罪類型中是極罕見的現象,可見詐騙犯罪不僅侵害善良民眾財產甚鉅,更是對政府亟欲培育優質公民素養的極大諷刺。因此,面對少子化下的青、少年卻以倍數成長的方式投入詐騙犯罪,政府勢必要修正部分因應策略以挽救這國安危機。
當前全球從事對抗諸如詐騙犯罪的犯罪預防模式有四大策略面向,依開發出來的先後時間來說,依序為:
一、「刑事司法犯罪預防」,主打以刑罰制裁詐騙犯罪者,其功能在緩和降低詐騙案件的持續升高。就我國近十年來的詐騙犯罪成長趨勢來說,對詐騙犯罪者的刑罰制裁威嚇度明顯極度不足,提高刑罰的修法工作刻不容緩。
二、「社區犯罪預防」,主要透過社區警政模式積極從事詐騙被害預防宣導(如 165 反詐專線、高密度反詐騙預防宣導)。就目前我國反詐騙預防宣導現況來說,警政機關已付出最大資源能力且幾已達效能極限。
三、「發展性犯罪預防」,主打從小所開啟的家庭、學校與社會等教育作用下,培育具有高度自我控制的個體,以降低個體選擇犯罪之路的可能。但當今社會現況,當政府管不了家長的家庭教育,更管不了名嘴、網紅、側翼及政治人物所演示的社會負面教育時,亟需在學校仰賴教育人員透過各種生活教育技術,以建構未成年學生強韌的自我控制力。
四、「情境犯罪預防」,主要透過物理性與程序性的監控措施,使詐騙犯罪經由各種監控措施(如目前所設計的金融監控措施、第三方支付登錄制度審查等),讓詐騙事件從一啟動就經歷層層監控檢核,以適時阻止詐騙犯罪之既遂。
若以上述四大犯罪預防模式來檢核當前我國詐騙犯罪現況,似乎到了全面檢討的時機,而首要該檢討的,便是即刻著手從刑事司法面向提高詐騙犯罪刑度,效法美國為因應重大性犯罪現況所採取的「梅根法案」、「三振法案」等策略思維,設計讓詐騙犯罪者非常有感的制裁刑度,以遏止詐騙犯罪的成長。
再者,在預防策略上,將學校教師納入犯罪預防體系的一環,並設計具全國一致性、從幼兒時期開始等一系列的生活教育課程,以補充或矯正家庭教育的不足,並培力教師具備基本生活教育能力及賦予教育管教權,使孩子在接受國民義務教育期間,逐步提高自我控制力,從而降低他們選擇以犯罪為職業的可能,並一併解決詐騙犯罪低齡化的現象。
侯康起手式 先破心中賊
2023-11-29 05:21 聯合報/ 林廣挺/中華民意研究協會副研究員(台北市)
「藍白合」破局後,固然有些「非綠」選民覺得惋惜,卻也讓不少人如釋重負。尤其是趙少康成為副手後公布的幾項重要說帖,包括堅持「九二共識」、重啟「服貿協議」、大量開放陸客旅遊與陸生就學等,由於旗幟鮮明和民進黨路線做出區別,讓不少藍營支持者感到振奮。
然而,令人疑惑的是,既然這些符合藍營基本價值的主張,可以很有效凝聚支持者的士氣、增加選情熱度,那為什麼不趁早提出?會不會早點提出,衝高侯友宜的聲勢,反而更能促成藍白合?最終藍白破局,一樣要拿出這些政策,國民黨到底在考慮什麼?
表面上看,是黨主席和參選人謹慎小心的行事風格所致。但更深層來看,其實反映出國民黨高層和政治菁英,經歷過馬政府執政後期以降接連幾次的選舉挫敗後,對既有路線的懷疑和不自信。反服貿的太陽花運動、以及香港「反送中」期間「抗中保台」的政治正確,似乎對一整代藍營政治人物形成巨大心理陰影,不斷牽制著他們的思想和行動。
因為他們已假定,「反中」是社會主流,所以即使每每作勢要對抗民進黨,但只要碰到兩岸議題,通常都會瞬間退卻,宣稱是為了爭取「中間選民」。由於相信「天然獨」的年輕世代對國民黨心存惡感,為了改變年輕人的觀感,所以要跟民進黨比賽誰更「愛台灣」。換言之,就是在政治上有需要時,必須比綠營更「抗中」。但這就像是邯鄲學步,不僅收效甚微,甚至還有害。國民黨在兩岸和青年方面的困境,其實是問題的一體兩面。
且看去年裴洛西訪台引發中共軍演、兩岸兵凶戰危之際,國民黨副主席夏立言頂著來自政府的壓力率團訪問大陸。沒想到反對最激烈者,竟然來自黨內。從附和民進黨「時機不宜」的謬論,到口出「敗家老頭」惡言皆有之,全然沒察覺民心厭戰、社會氛圍已發生微妙轉變,「芒果乾」早就賣不動了。
因為缺乏自信,加上先入為主的固化思維,大幅限制了國民黨反思過去、批判當下、展望未來,採取積極進取政策的意願和能力。無怪乎明明多數民眾反感失政敗德的民進黨,但由於藍營缺乏執政願景可供想像、沒有未來感,也無法激發選民的希望和熱情,選情當然一直低迷。
兩岸關係但求「不要失分」即可,不敢面對最核心的衝突和爭議。碰到青年發展問題時,僅求「不被討厭」就好,不是討好就是迴避。這樣的國民黨,毫無吸引力,實在無法讓人產生敬意。不要說基本盤失望、年輕人無感,就連對手都看不起。
明代思想家王陽明曾說「破山中賊易、破心中賊難」。經過近十年腐化墮落,太陽花世代早已信用破產,民進黨的執政則讓台灣陷入內外交困。國民黨應該從哪裡跌倒、就從哪裡站起來,是時候突破心理障礙、恢復未竟之業,展現出帶領民眾走向和平繁榮之路的信心、決心和能力。
只有證明自己是另一個有別於民進黨的合理選項,選民的投票才有意義。如果選贏,就有撥亂反正的底氣。即使選輸,至少還有繼續存在的價值。「侯康配」的起手式,至少是踏出了「破心中賊」的第一步!
企業走向國際 遵法方能永續經營
2023-11-29 05:21 聯合報/ 顏廷棟/銘傳大學財金法律系教授(台北市)
近日媒體報導,韓國法院判決台灣兩家面板廠友達、瀚宇彩晶涉及壟斷液晶面板(LCD)價格,合計必須支付逾三二八億韓元(折合新台幣約七點九億元)賠償南韓樂金電子廠(LG)。
本案源於民國九十七年至一○○年(二○○八年至二○一一年)間,國內友達、中華映管、彩晶、奇美電子等廠商,涉嫌與日韓廠商以國際卡特爾(企業獨占聯盟)共同操縱 LCD 面板價格,各公司分別被歐美反托拉斯機關合計處以上億歐元及美元罰款,另在美國還要面臨負責人承擔刑責及龐大民事損害賠償金額。值得注意的是,本案由於韓國三星廠適用寬恕條款向歐美主管機關舉發,因此得以免受處罰,這同時顯示出我國廠商對反托拉斯法的認識不足。
事實上,過去不乏台灣廠商被歐美政府認定觸犯反托拉斯法,處以重罰的國際卡特爾案例。民國九十七年(二○○八年)底,國內三家車燈廠涉嫌操控價格,在美國遭到反托拉斯聯邦法庭提出訴訟案,其中帝寶子公司被科以四千三百萬美元罰金,其負責人甚至被判六個月徒刑。又如,長榮、華航等航空公司,涉嫌在民國九十二年至九十五年(二○○三年至二○○六年)間與多家國際航公司協議收取貨運燃油附加費,最終分別付出一,三二○萬、四千萬美元和解金。
隨著經濟全球化發展趨勢,各國廠商面對競爭激烈之國際貿易環境,基於鞏固自身利潤最大化的目的,可能共同協商分配國際市場、相互調整產品價格或產能,或交換其他敏感商業訊息,以致引起跨國性限制相關產品市場的競爭效果。如此實施國際卡特爾行為,同時違反複數國家或區域市場反托拉斯法規定,致使涉案企業或職員遭受嚴厲處罰。
由於各國反托拉斯法制裁體制、調查程序及減免罰則等規定未盡相同,是以事前建置反托拉斯法教育訓練及管控違法風險之遵法規章;若有涉嫌觸法,事後即時啟動減免受罰或停止調查、和解程序等機制,盡最大努力保全公司財產及商業信譽,該等法制作業為現代企業不可或缺之經營成本。
國內企業進出國際市場從事貿易競爭活動,除應致力研發創新、提升品牌競爭力外,內部應訂定完備法反托拉斯遵法規章,外部應有因應涉嫌國際卡特爾選擇最有利申請寬恕條款等保全程序認知,如此方能創造企業永續經營環境。
