歲月的容顏 YingChu Chen

2018年時曾經吵吵鬧鬧的《 資通安全管理法 》(資安法)，現在要修法了。5 年過後再回頭看這部法，覺得它和民間私部門沒有太大的關係，在草擬這部法時沒有數位發展部(數位部)，所以預設的主管機關是行政院，在當時的情況下，有些權責劃分很模糊，或是管理的層級也不清楚，有些單位無法明正言順的做事。現在有數位部了，藉這次修法把當時定義、層級弄清楚，也能那些原本負責的單位有依據做事，也加強所有政府各層級部門資通安全聯防、管理的機制。 預設讀這篇的都已讀過 修正草案的內容 ，所以就把自己看過後的重點整理以下，只有第11條是我覺得需要寫清楚或規範清楚的，其他就只是資料整理： 資安法的對象其實是 公務機關 和 特定非公務機關 ，所以有些企業會很擔心資安法會管到他們，除非他們是特定非公務機關，但修法後的對象非常清楚，建議可以再向請教自己公司的法遵部門。現行資安法裡的的公務機關定義擴及到公法人(國家、地方自治團體、行政法人)，修正後只有到 行政法人 。修正後草案將特定非公務機關則依據《 財團法人法 》修正(現行僅政府補捐助的財團法人)。 修正法草案明確寫出這部法的層級及管轄的範圍與層級、資通安全事件的通報層級、稽核的管理，不會像以前一樣都模糊的寫主管機關。修正後就會明確的寫出主管機關的哪個單位。修法後也明確是由行政院公告關鍵基礎設施清單，而不是由主管機關(數位部)來決定哪些是關鍵基礎設施。 修正後新增：第5、8、11、23、25、29、31條 現行第6條移到第30條，讓所監督的行政法人名正言順的做事，例如(資通安全)國際交流合作，台灣政府部門間的資通安全分享與分析中心(ISAC)都有在進行國際交流，另外如2023年終於成立的國家資通安全研究院(資安院)，就是行政法人。 修正後第9條：資通安全情資分享機制由主管機關變成資安署。原本政府的部門間、關鍵基礎設施之間都有資通安全分享與分析中心(ISAC)，這次修法可能是讓資安署可以名正言順的全權管理ISACs之間的情資分享與管理機制。 修正後第23條：規範特定非公務機關應設資通安全長，人選由代表人、管理人優先於其他代表權人，或再指派適當人員擔任。 修正後第29條：特定非公務機關規避、防礙、拒絕接受調查者，處罰10萬元以上，100萬元以下罰鍰。 修正草案通過後可能會出現的問題： 修正後第10條：移除「委外應考量受託者之專業能力與經驗」，直接選任適當

一月底時， TechCrunch 的報導讓大家注意到台灣的租車公司發生了資料外洩事件，從報導中可以得知，這次的資料外洩的範圍，部分信用卡號碼、客戶身份證明文件，以及租車者的相片、簽名和租車詳細資訊。由於是租車公司，主管機關大概是交通部公路總局，所以也看到台灣的 後續報導 是公路總局要求該公司限期改善，在 TechCrunch 的原報導中也提到他們有發信問數位發展部，已經通報  TWCERT/CC  協助處理，也已經無法自該資料庫下載資料。 這件事情讓我想到幾個美國的案件，我簡單的摘要並提供美國FTC的案件連結，有興趣的人可以再去網站上閱讀： Equifax資料外洩案： 2017年時的Equifax資料外洩案十分有名，由於它是一家跨國消費者信用調查的公司，所以儲存了大量的美國、加拿大、英國人民的個人資料、財務與金流資訊，被評估會讓這些被資料外洩的受害者可能會遇上身分被竊取、詐欺等事件。 經過調查， 在這次的資料外洩案中有 1.47 億人的個人資料被外洩，在去年12月與美國FTC、消費者金融保護局、和一些美國地區達成和解，在和解協議中，需要支付4.25 億美元給受到資料外洩案影響的人，到2026年之前，美國的消費者透過特定的網站，每年可以取得7份免費的信用評估報告，另外，受害者也可以在特定期間內，針對因受到身分被竊取、詐欺的而影響，要求賠償需要恢復身分所花費的時數及費用，每小時賠償25美元，最多20小時。 對於常常接到電話詐騙、在公共場所大聲報出自己身分證號碼的台灣人來說，可能不覺得有什麼，但從2017年關注這個事情到現在，我想美國人對於因資料外洩而導致身分被竊取、詐騙，實在是謹慎且處理方式完整許多。 連結： Equifax Data Breach Settlement Drizly 資料外洩案 資料外洩的案子常在網路上出現，看到後來我常常都麻木了。2018年還有萬豪酒店集團的資料外洩案、國泰航空的資料外洩案、四大會計公司輪流出包把客戶的財務資料存在雲端系統，還把帳號密碼未經加密就寫在某個公開的服務裡。 2018年對我來說幾乎是資料外洩案爆發的一年，但對長期服務於資安領域的人來說，這些都不是新案。 美國的 Drizly 是 UBER 所經營的一個販賣及運送含酒精飲料的網站，他們使用了Amazon的雲端服務，在上面儲存了消費者的電子郵件位置、郵務地址、電話號碼、單一裝置識

25日晚上參與了 DiploFoundation 每月都會舉辦的網路治理議題研討會。五月的三個主題其實在台灣也有人談，只是最近被 COVID-19 疫情所影響，所以音量小了很多： Facebook 對內容的管理、Donald Trump 的停權處置是否恰當。 供應鏈/基礎建設的安全性：油管公司被攻擊、SolarWinds、QNAP 的事件、公衛系統的安全性，軟體的安全性。 關於加密貨幣的討論。 社群平台、言論管制、言論自由 因為台灣的年輕世代已經不太用 Facebook 了，大多是中壯年族群、銀髮族群會固著在上面，更多是在 LINE 的同溫層裡，所以 Facebook 從關閉 Donald Trump 帳號所出現的言論管制政策、更早為了不實訊息、帳號而出現的「全球獨立監督委員會」(Facebook content oversight board)，在台灣的討論聲量並不高。 但在今天的討論裡卻很熱門。DiploFoundation 還邀請了 Universal Rights Group  的執行長 Marc Limon 和參與者一同討論關於網路人權、言論自由等看法，中間則穿插著 DiploFoundation 執行長的意見，聊天室裡也有固定參與的人表達自己的意見並進行討論。例如，Facebook 說到底還是是一家私人企業，有權力決定自己的公司政策，但是當它大到具有全球影響力時，應該要怎麼處理這些議題。 關於網路安全，順便聊一下 OEWG 的 Final Report 第二件是談到網路安全。這在台灣應該只有技術圈會討論，例如美國的 Colonial Pipeline 遭到 DarkSide 以勒索軟體(Ransomware)攻擊，所以停止營運一日 ( 新聞 )；又例如因為 IT 設備監控軟體 SolarWinds Orion 的漏洞，造成美國政府單位、民間企業有許多資料被外洩，包括微軟的 Exchange、Azsure 和美國不少重要的政府單位 ( 詳細內容 )；又或是像健康資料的機構被駭客駭入取得資訊。這些網路安全的新聞，在台灣可能就會放在技術類別，例如如何去預防 Ransomware 的攻擊、讓員工有資安意識⋯⋯等。 在聊天室的討論裡，大家則談到基礎建設對於網路的重要性，電力、管線，稍微有個閃失，網路就不存在了，平常看似穩定的網路，沒有保護好基礎建設，其實相當脆弱

真的不是故意只看這類文章，但休息一個週末後，這一方面的訊息還是比較容易吸引我注意。原因在於： 現在在談的區塊鏈技術與應用真的和我接觸時是不同的事。 還是無法將加密貨幣與區塊鏈應用混為一談。 在以往，區塊鏈的優點是安全、不透過第三方、透過共識完成，所以如果被攻擊，可以從時間戳記 (Timestamp) 來回溯，只承認原本的資訊。 不過目前的加密貨幣很多的問題是在交易所，可能是交易所被攻擊、應用程式上有漏洞，或是其他原因有各種資訊安全的風險存在，在 Facebook 上看到了一篇「 給駭客們的建言 」。這讓我很感慨，我記得在2017年時，許多的講座談的是區塊鏈技術的重點就是安全，但在這篇「建言」裡，看得出來它不是針對區塊鏈技術，而是針對人的行為、應用程式的安全漏洞去攻擊。 中國也有不少討論區塊鏈技術的文章，中國清華大學的未央網是一個很不錯的資訊匯集處，也有許多研究專家在撰寫相關的文章，例如： 区块链的现实之痛与解决之道 ，也匯集了其他國家在科技金融上的發展，或是中國自己內部的政策及相關科技金融產業上的處理，例如： 未央今日播报：“跨境理财通”细则出炉 凤凰金融涉嫌非吸被立案调查 。 在「区块链的现实之痛与解决之道」的作者認為區塊鏈技術並沒有真正的被人應用，而且是屬於脫勾的，被加密貨幣、 ICO 的熱潮模糊了焦點，如果真的要談應用，就作者的角度來看，他覺得與實際的應用在生活裡還有很大的距離。目前除了先前提過的一些應用外，各國政府多研究開發與跨境金融交易、國際貿易相關的應用，或是像學位證書的證明、保險、車聯網相關的應用，但真的要普及而不是只有炒幣，可能還需要時間。也認同這位作者就目前區塊鏈技術的看法：專業術語太多太難以理解、不同技術的鏈與鏈之間是無法交流與交換的 (這則是違悖了網際網路資訊必須互通的公共價值)，目前雖然有很多號稱要啟動的跨鏈服務，但也沒有真正的被啟動、真正被執行。從成本的角度來看，僅管各種技術想盡辦法要壓低耗盡的能源使用量外，愈巨大的區塊鏈雖然可信度愈高、安全性愈高，認證的時間愈長，手續費也愈來愈高。但愈新的技術、使用者愈少的鏈，也許交易速度快，但安全性就有一定的風險。 所以這似乎是一個很難取捨的情況，或許要再一些時間。 透過Handshake (HNS)、ENS 等服務的申請頂級域名 HNS 和 ENS 是這兩年內我看到最有趣，且與域名有關的應用服務。

Photo by Adli Wahid on Unsplash 自 2018 年開始擔任台灣網路資訊中心（Taiwan Network Information Center ，簡稱TWNIC）國際事務委員會委員，此次與 TWNIC 一同參與本次 APRICOT 2019 / APNIC 47 會議，由於參與的行程多與 APNIC 47的議程有關，以下就只簡稱 APNIC 47。 會議資訊： 會議網站： https://2019.apricot.net 會議照片： APRICOT 2019 關於網際網路的第九層 本次APRICOT開幕式邀請到網際網路學會(Internet Society，簡稱ISOC)總裁兼執行長 Andrew Sullivan為大家開場致詞，主題為「 Up and down the stack through a nerd’s eyes: Making the Internet better the Internet way 」在其致詞中提到了網際網路的第九層，相當耐人尋味。開放式系統互連通訊參考模型(Open System Interconnection Reference Model，簡稱 OSI Model)為七層，但隨著整個網路科技的改變，及與每個人的生活事務高度連結，在業界甚至調侃有所謂第八、九、十層的說法，第八層被戲稱為「office politics」，第九層為「blinders」，第十層則為「users」。