本文為之前已介紹過美國哈佛大學網路與社會研究中心Berkman Klein Center for Internet & Society網路數位社會研究中心,Translating Research for Action系列的筆記整理之二。
過去三四個月以來,透過一些網路自由軟體在地化的投入,以為自己好像稍懂了一點什麼是「資訊數位安全」,最近聽聞台灣行政機關正在積極推動「資通安全管理法」法制化進程, 但看過這份法律草案以及相關文章報導後,卻又讓我倒退地困惑不解台灣官方在中央層級的高度到底是如何理解和看待「資訊數位安全」這回事?如果連法規本身要處理的關鍵詞----「資訊數位安全」,它的定義、範疇與相關行為人都欠缺合理明確的界定,又怎麼能侈談對這些行為的規範獎賞以及行為者之間互動制衡?但是以我目前對台灣「資通安全管理法」草案內容的理解,總感覺其含糊地把行政組織法與作用法混綁,以應付之前「國家資通安全科技中心設置條例」遭廢止,無主管機關處理「資通安全管理」課題的囧境。而作為法律本身,它卻留有許多空白授權讓行政機關再另以子法或行政命令推行。例如原本「國家資通安全科技中心設置條例」這個組織法要規範新成立主管機關的行政職責份際,在草案中卻可能變成授權由行政院自行定之?然後這篇資安處處長的專訪,我更加不了為什麼台灣行政部門的資安法草案,還要向坑坑洞洞的「個資法」看齊咧?主事者到底怎麼樣地理解「資訊數位安全」與隱私權之間的關係,以作出合宜的規範?
帶著這些疑問,我試著先仔細閱讀這份簡報,看看能否弄懂美國面臨數位資訊安全和隱私權之間競合關係的因變之道,再來思考台灣的情況吧。再次聲明此文僅為個人閱讀時同步作的中文初譯,目的只是因為近來腦力記憶退化的狀況,許多事情都不復記得,所以留下重一點痕跡之故而已。這份簡報的架構其實和之前「privacy and open data」一樣,分別為1)Ecoeysem Map;2) Action Map;3) Naviation Aid。
1) Ecoeysem Map 生態系圖表:系統轉變、挑戰與緊張關係
當前網路世代中雲端運算模式的發達、行動網路與穿戴式設備的普及,現代人可說是活在一個網路無縫接軌的服務與商品環境,消費者與用戶儲存在雲端的各種資料都依賴著業者所提供設備服務來存取使用,與此同時用戶個人資料或是企業組織的內部資訊也都掌握在雲端服務器提供者手上。除此之外,不僅是家用與個人電子商品紛紛建置連結網路形成所謂物聯網(Internet of Things),更多基礎工業設施如電能、自來水供應、機械化自動控制等,都連上了互聯網方便遠端多方搖控。這樣的網路生態變化,勢必也為資訊數位安全與隱私保護帶帶來了另一層面的挑戰與緊張。特別隨著各種意外事件的增加與恐佈威脅的擔憂,網路安全課題已昇級為政府政策之首。
*資安事件(客戶資料被駭、商業機密被盜、網路設備失靈、政府監控異議者等等)層不出窮,但枱面下有更多是未被引爆或被外界知曉的資安問題。而引發這些攻擊的動機不一,有些可能是商業情報間諜,有些是執法部違法監控,有些是詐欺手法,但甚致也可能透過網路破壞實踐公民不服從的抗議。
*雖然公私部門都了解提高資安防範的必要,但情況並未見好轉。這可能是由於軟體與系統設計不良,造成可被攻擊的漏洞。有些業者雖然會提供修補來防制,但也有些服務或商品因應漏洞缺失提供改善更新。
*除了軟硬體本身的弱點外,另一個關鍵因素恐怕是人為疏失、缺之標準安全操作。
*上述狀況其實都是老問題,但今天資安更為棘手的新挑戰乃在於互聯網的發達應用系統之間互相聯繫,以及軟體協議更趨複雜,一旦只要攻克了單一系統的漏洞,很可能造成其它系統一併的癱瘓。
*發動攻擊的敵手越來越高明厲害,而攻擊工具或應用軟體市場其實正在熱絡交易。
*利害關係者各因其立場尚無法對資安課題有一致的解決方案
緊張、權衝其它考量
在這些看似緊崩的表象下,我們需要更深入權衡探究資安與隱私之間關係,故從不同的利害關係者社群來作分析:
消費者(個人或團體)
- 喪失椌制:當越依賴業者提供的服務,就越得受制於業者所開出的隱私和安全防護措施。但對消費者而言,缺乏替代選項或是轉換成本越高,似乎就只能受制於業者控制。
- 需要安全與隱私:消費者對安全與隱私的重視未必反應在其行為與習慣的調整改變,其它因素如價格、便利性也很可能決定其行為模式。但也有可能是其技術知能不足。
- 方便、可用性與自主權:為了提昇安全,有些軟體或商品設計得更為複雜而難以使用,這也造成它在市場上不討喜。同樣的,太過繁複的使用隱私政策也會阻卻許多終端用戶。
- 安全與隱私成了特級付費品:這可能會造成某種有錢人才能享受安全與隱私的社會分級。
- 高度競爭與市場驅力:為因應高度競爭,軟體開發生命週期往往非常快速而顧不上安全考量。
- 組織內部的資源與知識配置:安全往往被視為「支出費用」而不是將之當作「投資」,因為在會計資產負債表上它不會提高收益。
- 孤立與資訊分享:因為擔心洩漏、反托拉斯侵權和規範審查,限制了公私部門之間的資訊交流,造成了雙方無法分享資安問題或漏洞的資訊孤立。
- 獨立的安全研究與弱點揭露:雖然有些公司有獎勵方案來感謝外部獨立的安全研究者找出其漏洞缺陷,但更多的公司卻是以提告或視為犯罪行為來威脅這些外部獨立的安全研究者。另外外部獨立的安全研究者也可能在黑市中兜售他們的發現。
- 規範與法制體系:大部份的生產者在現有的法律架構下並無須對商品/服務已知的缺陷負擔法律責任。消費者也很少能夠從資安事件中得到傷害損失的返還。這也讓許多公司不會將其入成本考量。
- 對公部門信任不足:尤其在政付被揭露了其巨型控制項目之後。
- 政府角色與規範政策;法制變革緩慢,故美國政府多半採取擔任促進者、號召者的角色,來鼓勵業者發展標準或自律規範等最佳作法。
- 公民自由權利、國家安全與外交政策;某些工具(如加密)雖然有助強化面臨資安威脅上的安全與隱私,但也有人擔心這類工具被惡意使用,這也增加了國家安全與外交政策上提昇民主價值之間協解的困難。
- 政府利用商業軟體的漏洞缺陷:軍方、情報機關、執法單位等利用軟體的漏洞缺陷來進行調查、攻擊行動。這也加深了公共利益到底何者優先的困難。
「隱私和數位安全」要如何予以治理呢?這份部份也和之前的「隱私與政府開放資料」一樣,提出了以下五種可能的模式:
- 技術治理:透過科技可強化隱私保護與數位安全。例如美國商業部轄下的NIST(Naitonal Institute Standard and Technology)即發展出一套讓業者自願採行的網路安全標準,來協助他們作隱私保護與網路安全之間的管控。這套治理方法相信維持一個開放的網路生態並同時作好隱私保護。
- 市場治理:透過市場機制來影響個人或組織在網路安全與隱私保護上的行為。例如業者担供系統缺陷獎賞計畫,以鼓勵白帽駭客回報所發現的安全漏洞。美國政府發起的DHS Innovation Call,資助新創公司來開發安全商業與物聯網環境。這套方法崇尚市場中各行為者的自主性,希望以此能找出包容而多元的解決方案。
- 以人為中心的治理:針對個別行為,其方法公眾資安意識的教育推廣、號召開發者與業者合作找出網路安全審視方法等。希望因強化了使用者的知能,提昇其行為的自主性。
- 法律與政策治理:對現有的法令規範、政策協議評估如何修更或新增以處理數位安全與隱私的挑戰。例如2015年美國聯邦政府通過了Cybersecuirty Information Sharing Act, 有些州亦有法令要求如果發生資安事件遭致個資當事人資料外洩,業者必須以予告之。這個方式相信透過立法規範用來保護個人與公共部門的安全,為者來執行更高的個資隱私保護行為,提高問責與透明。
- 混合式治理:採用上述一種以上的治理方法,來處理網路安全與隱私的多面向課題。
從1)2)部份的描述,這個複雜的生態系還會繼續不斷進化,所以決策者必須能預期和準備未來世代中所會面臨的隱私與數位安全的挑戰。相關的利害關係者,如政府、私部門、公民社會和學術界等必須一起合作來找出解決方法,故建議以下四種可能的合作方式:
*Information sharing and horizon scanning 資訊分享與水平檢視:決策過程能夠加入多方關係人的參與,來檢視科技與政策的發展
**號召利害關係者能分享資訊,討論數位安全的潛在威脅,交流可操作的資訊,以打破各領域的資訊封閉,提高多元觀點不僅協助決策者完整理解當前的資安景況,亦有能力預測其未來軌跡。 **決策者不妨發展組織之間的人員交換計畫,作為一種資訊交流的方法。
*Impact Assessments 影響評估:可讓決策者更準確了解資安與隱私體系之間緊張,以及各種可能對策的效果與代價。
**召集利害關係者來討論和列出潛在的介入手段。
**支持研究,了解政府在此領域推動干預手段對經濟影響。
*Transparency and education 透明與教育:鼓勵教育改善與透明計畫來協助消費者了解資安的重要更好地自我保護。
**政府與利害關係者合作,找出評量與宣導資安實踐的好方法
**支持原型公測開發,並進行小規模消費者樣品測試,再公佈這些標準草稿以進一步強化其透明度。
**與網路安全實驗室合作,支持其評估與改善透明度的效果。
*Allocation of Risks and Decision-making 風險與決策:了解風險的私人與社會成本,以及負責決策必要性。其有助於認清哪些行為會侵害維護安全可信賴的軟體生態而哪些作法可以強化。
**政府與其它利害關係者一起合作,理解其在決策上的利害考量,以發展企業決策能影響整個產業態系。例如軟體開發者或業者能自願建立在隱私和安全上的最佳示範作法。
**與相關利害關係人討論新的治理機制,以協助其能最佳地內化資訊數位安全的風險成本。
後記
若用一兩句話來總括這份簡報,就是精要地描述現況後,從「網路安全」與「隱私」議題相關的利害人觀點來討論各種治理方法以確認處在當今與未來社會的各種挑戰下,兩者能繼續兼容。當然十六頁的簡報也只能先暫時把網路安全的焦點放在「隱私」憂慮這個面向上。如果回到台灣「資通安全法」草案內容的初探,根據行政院提案的「資通安全法」草案版本(2016年10月13日為準),對於所謂「資通安全」給予了如下的定義:
指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、修改、銷毀或其他侵害,以確保其機密性、完整性及可用性。這段定義文字有種似曾相識的感覺,在之前閱讀另一份「government hacking and human rights」,其中即對government hacking予以了幾乎是如出一轍:
the manipulation of software, data, a computer system, network, or other electronic device without the permission of the person or organization responsible for that software application, data, computer system, network, or electronic device, and/or without the permission or knowledge of users of that or other software, data, computers, networks, or devices ultimately affected by the manipulation。我上面引述的段落中少了主詞,但在原文的脈絡下指的就是「政府」這個物體啊!然而一直作為最可能侵害人權行為的當權者從來不會立法來砸自己的腳,除了遮掩模糊政府本身可能就是破壞資通安全者之一的現實,將之推卸為某公務人員個人行為,草案條文中規定了不少對於私人部門的管理控制,讓這部法律草案完全沒有一點現代民主社會的「法治國」態度。回想這幾個月來讀到許多資安事件,其攻擊或缺陷造成的後果,早已不僅只是用戶個人資料外洩這種令一般人無感痛癢的問題,而是已經入侵到了對於網路言論自由、資訊自由交換流通的威脅(如前一個月發生前華盛頓郵報資訊記者Brian Krebs網站受到「人類有史以來」流量最大的型DDOS攻擊讓主機商都受不了龐大維護費用的商業損失只能將其撤下站,而攻擊發動者則是利用上千部IOT網路攝影機不知不覺中成了攻擊僵屍)。除了人權倡議者高談的「隱私權」、「言論自由」等抽象價值受到侵害的擔憂外,說一點實際的風險好了:I Spy Doc網站製作的小短片,清楚地揭示網路攻擊演變成世界人類戰爭的可能性與後果,這種看似上世紀科力幻小說中出現的威脅離我們還會遠嗎?除卻個人使用習慣的安全意識提昇外,企業和政府又該負起什麼樣的責任且同時受到什麼樣的規範,這便是我所指的,在促進「資通安全」的上位法規在草擬設計時,也該思考如何對執政者予以約束,以確認人民基本權利不致受到侵害的法治基礎。
寫了半天,資訊數位安全含括的硬體建置、軟體漏洞、心理層次、隱私與資訊自由、甚致是人身安全,這麼多領域的課題,雖然我還是根本搞不懂什麼是資訊數位安全啊。但總覺得此議題不能輕易由技術專家來獨斷話語權啊。
Recommendations for human rights based approaches to cybersecurity infosec privacy reading /watching/ listening
0 意見:
Post a Comment