借鏡國際資安蛻變

愛沙尼亞如何從網攻的暗黑中崛起?

2007年4月27日那天,對愛沙尼亞人民,是場難以忘卻的災難。

一頭棕色長髮、圓潤臉龐帶著警醒微笑的洛倫茲(Birgy Lorenz),接受《聯合報》專訪時回憶:那天,愛沙尼亞總統府、國會、各政府部門網站、新聞網、電信公司和銀行網站全數癱瘓,民眾不只無法連上銀行網站,就連實體ATM都提不出錢。打開電腦,愛沙尼亞半數以上網站遭駭,被換上敵國俄羅斯的宣傳口號。

駭客導師 回憶網攻慘況

洛倫茲,愛沙尼亞首都塔林理工大學(Tallinn University of Technology)資深科學家、教授,她研發的資安教材被廣泛使用在國小至大學課堂,多次獲得歐盟和愛沙尼亞年度教師獎,現正聯手愛沙尼亞國防部推動民眾資安教育、主持競賽,是歐洲COST行動(歐洲科學與技術合作)知名資安代表。她也與多位駭客攜手持續協防愛沙尼亞,被喻為「駭客導師」。

她說,那年,愛沙尼亞遭遇國家級網攻,混亂從網路瀰漫至現實,有1500位民眾趁亂上街奔跑、焚燒旗幟、縱火,約20家商店和機構被闖入,雖然多數民眾都待在家中靜待生活恢復秩序,但從那日起,民眾都得到啟發:當數位化是國家發展的唯一途徑,資安更是一種思維觀念(mindset),每個公民都有責任伸出援手、成長。

「安全,是每個人的責任,」洛倫茲語重心長。

愛沙尼亞首都塔林理工大學資深科學家洛倫茲推動民眾資安教育。
愛沙尼亞首都塔林理工大學資深科學家洛倫茲推動民眾資安教育。

痛定思痛 建構最先進數位社會

時至今日,愛沙尼亞被外媒Wired讚譽是全世界「最先進的數位社會」,世界銀行組織更點名,愛沙尼亞擁有全球最成功的數位身分證系統。

這是一個被數位發展部長唐鳳,譽為台灣最應借鏡、最具「數位韌性」之國。

愛沙尼亞人口僅133萬,獨立建國不到30年,卻催生出舉世聞名的通訊軟體Skype、手機叫車服務Taxify、金融科技公司TransferWise等多家新創獨角獸。

當台灣選舉還停留在紙本投票,愛沙尼亞2005年就已啟動網路投票,是全世界第一個實施線上投票(i-Voting)的國家,光是2019年就有47%人民使用i-Voting,且公民能從145個不同國家越洋投票,不必擔心資訊外洩或選舉無效。

但愛沙尼亞的成功,非一蹴可幾。

愛沙尼亞已經在2005年啟動網路投票,是全世界第一個實施線上投票的國家。
愛沙尼亞已經在2005年啟動網路投票,是全世界第一個實施線上投票的國家。

例如,愛沙尼亞讓民眾只要一張「數位身分證」,就能識別身分、投票、報稅、查詢醫療紀錄、領藥,等同將台灣的身分證、健保卡、自然人憑證等各種卡片合而為ㄧ。但愛沙尼亞也曾在2017年發現數位身分證存在資安漏洞,導致75%民眾有個資外洩風險。

為此,政府找來專家,更換金鑰、憑證,重新調整資安強度、換發新卡,才建立起世界銀行如今眼中「全球最成功的數位身分證系統」,洛倫茲說,那次的問題,反而讓愛沙尼亞人民更了解數位政府資安局勢、理解「所有的數位解決方案都需要迭代、更新、持續防護,這讓資安專家有更多升級、實踐機會,甚至因此在首都催生了「北約合作網路防禦卓越中心」。

資安不是工具 而是文化與價值觀

3年前,內政部曾赴愛沙尼亞考察,國發會希望借鏡該國經驗建置「數位身分識別證(New eID)」及「政府資料傳輸平台」(T-Road)。但如今台灣數位身分證計畫不只停滯不前,還有愈來愈多個資外洩,身處地緣政治兵家必爭之地的台灣,資安教育刻不容緩。

「資安不是工具,而是一種『文化』、一種『價值觀』,」洛倫茲提醒。

這種文化,就像民眾從小被教育道路安全規則,了解何時該走、何時警戒、哪個巷道有危險?覺知安全與否、自我保護,以防個人的手機、電腦散溢病毒與資訊,橫向感染自己的公司、關鍵機構。

台灣原訂2021年上路的數位身分證,因資安與個資外洩疑慮始終未解而喊卡。
台灣原訂2021年上路的數位身分證,因資安與個資外洩疑慮始終未解而喊卡。

資安教育需從小進行,就像愛沙尼亞國防部攜手資安教授、IT人才,擬定教學大綱、教材和遊戲,從小學一年級到高中生都要上程式設計、駭客演練、身份驗證等公民資安課,成年後還有「成人和公司意識計畫」、「慶祝資訊安全日」 、「如何做個聰明父母」等意識培訓課程。

她指出,政府應積極推廣民眾和企業的「認知計畫(Awareness programs)」,讓每個人都懂得對自己的資料、數據、分享的內容負責,並將「網路遭駭」、「中毒」、「個資被竊」視為嚴峻問題,才能打造國家級防護戰力。

如今愛沙尼亞許多學校教師都像洛倫茲一樣,領軍各年級學生參加歐洲網絡安全挑戰賽、美Cyber Patriot、Magic CTF等國外比賽,愛沙尼亞去年還舉辦「模擬2007年愛沙尼亞網攻競賽」。

「這是對愛沙尼亞資安史的致敬,」洛倫茲說,「許多年輕人不是那年出生,但我們想教育他們:這是讓愛沙尼亞成為資安領導者之一的重大歷史事件。」

洛倫茲表示,資安不是工具,而是一種文化、一種價值觀。
洛倫茲表示,資安不是工具,而是一種文化、一種價值觀。

身處地緣風暴核心 台灣對危機無感

2021年,《經濟學人》雜誌以台灣為封面,直指這是全世界最危險的地方,因為有最重要的半導體供應鏈,中美台關係卻動盪緊張,但台灣缺乏資安意識和人才。

儘管唐鳳曾說,「全民協力」是愛沙尼亞政府給台灣的重要啟示,韌性(Resilience)是能:遭受到不利快速恢復,並透過完善機制即時應變,甚至從被攻擊經驗中學習、強化體質。

但毫無警戒的個資外洩,政府又未敦促企業將資安視作己任,都將成為一朝不慎、木馬屠城的破口。

愛沙尼亞已在能兼顧個人隱私與資訊安全下,提供便捷服務,甚至與盟友合作成立全球首座「數據大使館」,將所有政府資料上傳雲端,以防領土被敵軍佔領,仍可利用數據大使館重建政府。

台灣,還在民眾重新學習防駭防詐騙,企業仍須責成以防駭客攻擊的基礎道路上,匍匐前進。

採訪撰稿:鍾張涵
統籌製作:鍾張涵、馬瑞璿、李彥民
影像:Birgy Lorenz提供、美聯社、路透、本報系資料照片
設計:薛羽涵、蘇韋豪
監製:應翠梅、董谷音
製作單位:聯合報新聞部

2023.03.27

 

延伸閱讀

台灣已成駭客天堂
台灣已成駭客天堂
查看全文
知名企業集體淪陷
知名企業集體淪陷
查看全文
基礎設施恐成標靶
基礎設施恐成標靶
查看全文
供應鏈資安敲警鐘
供應鏈資安敲警鐘
查看全文
政策失調 立法漏洞
政策失調 立法漏洞
查看全文
守衛個資自保教戰
守衛個資自保教戰
查看全文
Top