話題人物 > 專欄

李德財

中華民國資訊軟體協會顧問、中研院院士(資訊所、 資創中心 )

李德財:防疫新常態下的資安防護啟示

2021-08-11
作者: 李德財

▲人們愈加仰賴行動裝置App,網路等資通訊設施,資安與個人隱私資料的防護,就愈加重要。(圖/Unsplash)

從2019年年底中國武漢出現首例新冠病毒至今,已擴散至全世界,且歷經數代的突變,有英國(Alpha)、南非(Beta)、巴西(Gamma)、印度(Delta)、還有秘魯(Lambda)、以及最近在美國加州(Epsilon)發現的變異株,台灣近期也因出現了Delta 病毒的本土案例,於5月19日全國進入第三級防疫警戒,中央流行疫情指揮中心除了大聲疾呼,希望民眾儘速接種疫苗以期獲致群體免疫,阻斷病毒的傳播鏈,也呼籲民眾要做好「非藥物介入NPI」的防疫措施,例如:戴口罩、勤洗手、維持社交距離。不少民眾關注疫情的發展,每天下午二時收看疫情最新進度的例行記者會,可謂全民防疫總動員!防疫意識也因而大大提升。由於是三級警戒,不少行業因此停擺,學校停課,改為線上教學,多數公司亦改為居家辦公等,各種經濟、社交活動也都降載!儘管台灣部分與出口相關的行業如半導體、航運、鋼鐵等表現亮眼,國內卻有不少餐飲業者、旅遊觀光業者等受到巨大的衝擊!

新常態:視訊會議線上教學

這一年多來,新冠肺炎病毒以各種變異株一波波地在全球各地蔓延,各國病毒研究、傳染性疾病、公衛專家等組成的團隊,為了對抗這人傳人的病毒,提出各種防疫準則,包括實施隔離,甚至封城,減少人與人近距離的互動群聚,改變了人們的日常生活方式。以視訊取代面對面的會議、線上取代實體的現場教學、網路訂購、居家辦公等已成為生活的新常態New Normal。

新常態的生活模式衍生出不同的問題,就拿居家辦公WFH,線上教學為例。在網路世界裡,行為者的身分辨識、確認及工作的績效評量,不像在實體世界,可「面對面」對談,「驗證」當事人身分,可直接「評估」其工作成效。過去媒體曾經報導,美國某大學任課的教授,收到了學校通知其修課的學生因車禍喪生,為該生的不幸感到不捨;但一個月後,居然收到該生線上繳交的作業。該教授回憶,曾與該生線上對話過,印象還不錯且平時繳交的作業,品質亦佳,但要求該生打開相機功能時,該生卻因某些原因,不願意提供影像。這事件凸顯實體世界的現場教學中未曾想過會發在的問題,在網路世界中卻出現了。

線上對話者的身分,是否本人,槍手,甚至是機器人,要能明確辨識有其難度。但這類虛擬帳號,卻早已充斥於網路世界的社交媒體社群,多數網民也習以為常。線上教學、WFH成為新常態後,冒名造假的問題,是否應該嚴肅面對並有因應措施?很明顯地,該生蓄意造假,雇用了某人或組織冒名頂替,不外乎是為了想取得實體世界中的「學分」證書或文憑!試想,如果不是因為車禍的意外事故而東窗事發,該生可能得逞且順利取得證書。對於這種「非正當」手法取得文憑的作為,要如何遏止?若要究責,同屬共犯的當事人與受雇者雙方,都應予已懲罰。而WFH的工作績效評估,線上修課學生學習表現之評量,如何作到公平合理?傳統的評量方式如何因應調整,或有替代方案?是否應搭配實體的面對面測試,以驗明正身?如何把關,落實人們「習以為常」的評量制度,仍有待時間考驗。

新問題:冒名造假、社交恐懼症…

這次疫情的爆發,出現了一些人們未曾思考或經歷過的問題。由於感染患者遽增,緊急醫護量能需求加大,防疫所需之設備與醫材,如個人防護設備PPE、氧氣呼吸器、病毒快篩劑、PCR檢測,急診與隔離病房等,導致不少國家因醫護量能超載,不勝負荷而崩潰!不少第一線醫護人員,因體力超支而病倒,或因醫院內防護措施不當、PPE不足而染疫,必須被隔離,令短缺的醫護人力問題更是雪上加霜!許多病患不治死亡,家屬卻無法親臨送終,探視亡者最後一面,遑論喪禮儀式。各行各業被迫停工停業,導致勞工失業,多少家庭生計頓失依靠。各國也因而啟動各種經濟紓困方案,台灣也不例外,只是力道與規模有所差異而已。人們因疫情飽受長期的孤獨與社交隔離,造成心理與精神健康問題,如焦慮、憂鬱症、以及醫院、白袍、幽閉等各種社交恐懼症,這些都是後疫情時期必須面對、處理的問題。

台灣在對抗病毒的過程中,採取了正確的應變措施,讓我們在全球陷於疫情災難時,仍能維持「正常」的生活長達500多天,直到諾富特旅館機師染疫事件造成了防疫破口而導致社區感染。例如邊境的嚴格管制,入境者嚴加篩檢,強制隔離兩週,將病毒阻絕境外;啟動口罩國家隊,從2020年1月的日產188萬片提升至5月的日產2000萬片的量能,透過健保醫療制度,啟動口罩的購買配給機制;對染疫者的旅行足跡監控,接觸史追蹤,集中安置檢疫旅館、居家隔離等管理措施相當齊備,加上中央、地方政府防疫新生活宣導,社會大眾的自主管理及高度配合等。

今年5月中旬由於社區感染,群聚感染案例攀升,全國進入第三級警戒,舉國上下一度陷入恐慌,單靠非醫療NPI的防疫作為已不足以阻斷病毒的傳播鏈及擴散,對感染高風險者進行普篩,擴大PCR檢測對象,對檢測陽性者的集中隔離控管,啟動疫調追蹤,實名制登錄機制,市集等群聚地點的人流管理等。疫苗接種已是這波疫情管控的必要手段;疫苗採購、分配、以及接種覆蓋率提升,成為台灣防疫刻不容緩的問題。

很不幸地,台灣在疫苗的採購上,陷入了疫苗取得(Vaccine Security) 的危機。由於台灣並非國際組織的成員,國際疫苗平台COVAX在疫苗分配上,多少受制於中國,因此我們必須獨立向國外採購疫苗,然而在中國打壓阻撓,民眾受到網路不實訊息、中共認知作戰的影響下,對某些疫苗產生疑慮,甚至對國產疫苗有所誤解,影響了疫苗的接種意願,讓台灣在六月底彭博發布的「全球防疫韌性排名」由全球第5名退至第44名(倒數第10名)。幸好來自國際友邦,日本、美國、立陶宛、斯洛伐克以及捷克的疫苗捐助,政府自行採購的疫苗陸續到來,加上民間團體成功採購到德國BNT疫苗,讓燃眉之急的疫苗荒,獲致紓解。

值得深思的是「戰略物資供應鏈」的安全問題。這次新冠病毒造成的問題,從早期防疫所需的PPE儲備量能,重症病患救治醫護設施,醫護人力的儲備(此次護理專業志工隊,疫情關懷中心扮演重要角色);防疫中期所需的快篩劑、PCR檢測設備的物資,實聯制登錄,疫調、隔離、人流管理;防疫後期所仰賴的疫苗,必須要有自主研發、生產符合國際規格疫苗之能力,確保疫苗取得之供應無虞,保障抗疫所需之戰略物資的供應鏈安全,政府責無旁貸!

新啟示:自主醫療物資資安防護更重要

台灣以口罩等醫護用品在確保國內供應無虞之後,用Taiwan Can Help 以及 Taiwan Is Helping幫助國際友邦,沒想到在台灣鬧疫苗荒時,獲致他國「善意」的回報,這種與理念相近、價值觀相同之國家的互助結盟,建立善的永續循環,何等重要!在現實世界裡,疫苗不僅是各國競相爭取的戰略物資,也成為某些國家用以牟取政治利益的外交手段!

疫苗是這波嚴峻疫情能否受控的最後利器,這次台灣在疫苗取得過程中除了陷於全球疫苗供不應求之窘境,也遭遇到棘手的政治問題。由於牽涉到國人的生命安危,相信全民應已有感!理應更能體會政府推動「國產」疫苗自主研發的急迫性以及生產自給自足之疫苗的必要性!與國家安全同等重要的軍事防衛量能儲備,如國機國造、國艦國造的政策,燃煤、燃氣備存、電力備載容量等攸關國民生計的政策,何嘗不是如此?建立自主的醫療物資供應鏈生態系將是疫情新常態下,人民安心生活的關鍵之一。而國產疫苗之一的高端疫苗,業已正式獲得食藥署緊急使用授權EUA的審查認可(相信聯亞生技研發的疫苗之有效性與保護力亦能通過EUA的審查),外媒路透社亦相繼報導國產疫苗通過EUA對台灣的重要性。值得慶幸的,已有若干國家表示認可通過台灣EUA的國產疫苗,並提出訂購申請。有了國產疫苗,讓台灣躋身於少數擁有自行研發的疫苗國家之列,但仍然有必要完成第三期的臨床試驗,通過國際認可,進而取得疫苗上市的藥物許可證方能竟其功。

全球對抗疫情肆虐,阻絕病毒擴散,各國都忙於因應國內經濟、社會問題之際,卻出現「趁火搶劫」之徒,網路詐騙集團及駭客組織,例如利用政府紓困方案,假造名冊,詐騙政府紓困金;利用一般民眾資安意識不足,終端裝置、物聯網設備資安防護欠缺,以及通訊軟體漏洞,在遠距教學、居家辦公WFH、視訊會議之新常態生活方式下,透過釣魚郵件等社交工程,植入惡意程式,入侵電腦系統,進行勒索病毒攻擊,竊取民眾個資或企業機敏研究資料。人們愈加仰賴行動裝置App,網路等資通訊設施,資安與個人隱私資料的防護,就愈加重要。

防駭如防疫 熱點快篩抓毒

兩者所面對的都是「外來的病毒」。我們從防疫的各種措施,如NPI,快篩,PCR檢測,染疫者足跡疫調、匡列、隔離,以及疫苗接種,可獲得防駭新啟示:

  1. 建立「勤洗手、戴口罩、保持社交距離」的防疫新生活,等同防駭資安意識宣導中,面對不明的網路連結、APP、消費性電子產品、USB,穿戴式裝置、物聯網機上盒、網路攝影機等軟、硬體設備,要建立「停」、「想」、「連」(Stop、Think、Connect)三步驟的健康使用習慣。
  2. 快篩、PCR檢測、疫調、隔離措施,等同於惡意程式入侵偵測、病毒傳播途徑掃描、數位鑑識、資安事件通報應變、網段隔離機制、以及端點防火牆建置等作為。
  3. 熱點快篩抓毒作為,無異於對關鍵資訊基礎設施進行獨立第三方的檢測與健診。
  4. 疫苗接種的有效度與覆蓋率,則對應至企業網路節點的資安漏洞偵測與防護系統建置的完整性與時效性。
  5. 疫情傳播擴散下,維護醫療體系的健全運作與持續營運,則反映於企業或機構之韌性,遭受駭客入侵攻擊時,內部系統應變、恢復正常運作的能力。

此外,在資安防護上,最棘手的莫過於軟、硬體的安全確保,以及機構內部系統管理人員的安全控管。其中,系統的安全取決於其零組件、模組的安全,而元件供應鏈的安全,則須包含上、下游委外廠商的人員安全與資安管理。與防疫相較,資安事件通報的法制面仍有不足之處。對於疾病傳染源與染疫個體的通報,有「嚴重傳染性疾病防治法」的約束,對確診個案,醫療院所有「通報」的法定義務,並得予以強制隔離。但在資安事件層出不窮、威脅有增無減的態勢下,資安檢測或稽核人員即使發現重大資安漏洞或事蹟,礙於客戶權益之保障,或企業商譽之考量,並無被賦予通報責任的法律規範而選擇低調處理!相較於政府機關,對高科技、機敏之民間企業,是否也應訂定「嚴重資安事件通報與處理原則」或相關法規,值得資安主管機關省思。

TOP