「資安問題」就是「國安問題」

中選會昨天（2018年11月28日）證實了選舉當日遭遇駭客的網路攻擊。然而同一則新聞「選舉日有駭客入侵？ 中選會證實境外大規模攻擊但未影響計票」消息內也提到了中選會的表態「計票網路是封閉系統，不是公開網路，無法由外界接收，保證選舉結果沒有因此受到影響。」這樣的論點。坦白說，若設報導為真，那我是完全不信任中選會在這件事情上所得的結論的。

很顯然我們的政府由機器還沒在資安議題上學會認知、對應現在的科技問題與技術瓶頸，甚至對於「自我防衛」的意識也太過薄弱，才會在「已經遭受外部駭客攻擊」後，仍可自信滿滿的認為「投票系統是封閉系統」就可以排除「駭客攻擊」的可能性。

駭客的厲害其實根本不僅僅是在遠端操控攻擊。事實上那通常都是不太高階的駭客才會優先選擇的方法。真正強悍的駭客幾乎不會在網際網路上留下太多蹤跡，基於「可靠性」的考量，許多時候他們都以「直接在目標端發動攻擊」作為最優先選擇，而「社交工程」才是他們真正最厲害的攻擊手段。

這種手段不是單純創造「封閉性網路環境」就能平安無事的。

所謂的「社交工程」，是指駭客們利用自身創造的假身分、假狀況，取得內部入侵的機會，在入侵成功後再尋找環境配置上的弱點，間接或直接的癱瘓系統、植入木馬、竊取或修改情報，甚至發布假造的指令，造成電腦系統、工作組織甚至社會的混亂與危害。而段數夠高準備又充分的入侵者，甚至可以創造出受害者明知正在被攻擊還不得不配合的景況。

這些「社交工程」的技術，其實你我都早已經在各類影像創作、小說之中經常拜見，可是很少人當真、當一回事。

「現實生活又不是在演電影，哪可能這樣那樣」是很多人對那些電影的感受。事實上，電影也許會誇大、美化某些事物，然而本質上很多靈感都來自現實的啟發，雖然或許會因為故事流暢性、可讀性或出於世界觀架構的需求，放大、誇大了某些元素的效應，而在其它層面對某些事實反而輕描淡寫。

其實那些影像作品、漫畫小說他們所闡述的「社交工程」樣貌，多半都非常貼近真實，甚至是現實可行的。

在這時代，政府機器的「資安問題」就是「國安問題」。資安就是國防的神經系統，武器只是受令運作的末端。因此，任何一個在資安態度輕忽的政府機器，絕對不會建構得出嚴謹考靠的國家防衛體制。

即便採取嚴厲到不近人情的「超高標準管制機制」加上嚴格的「資安意識教育」，都還可能難免有所疏漏，更何況這種輕忽的態度？！

如果都已知有外部攻擊的事實，都還能自我感覺良好的自以為擁有「封閉性網路環境」就必然安全無事，這種根本沒憂患意識的態度，實在令人啼笑皆非、擲筆興嘆啊！