APrIGF 亞太網路治理論壇:網路安全如水桶,會從最低的洞開始漏–別成為那個洞
在討論嚴肅的資安、國安議題之前,先聽個故事吧。
有個國家在 2015 年的網路滲透率排名全球 156 名,僅有 6% 的家庭擁有網路連線,寬頻網路的費用要價平均國民收入(GNI)的 38.6%,用台灣的物價來想像的話,等於是你家中申裝網路的價格,跟你的房租、房貸差不多的等級。這個國家的網路不僅昂貴,而且還常常斷線,因為恐怖組織三不五時就把線路炸斷。
這個國家叫做阿富汗,在這個網路環境極度落後的國家,這幾年也發生過銀行被駭客入侵盜領 120 萬美金、政府單位被盜轉了 400 萬美金的事件,甚至他們的國家資料中心也被入侵,竊取了政府部門幾乎全部的資料。「網路在這裡並不普及,更不用提網路安全。」阿富汗國家資訊科技協會會長 Said Zazai 表示,阿富汗國內幾乎到處都是充滿漏洞的盜版軟體,甚至連政府單位都安裝了破解版的軟體(IT 人員申購了正版軟體,拿去市場上轉賣),這裡根本沒有網路安全可言。
聽到這裡,你肯定要問,這關我什麼事?這應該是阿富汗自己要處理好的事情,他們不安全活該。
這句話只對了一半,因為你肯定也聽過「網路無國界」這句話,想像一下,一整個國家的電腦都充滿後門跟漏洞,對惡意駭客的意義是什麼?一整個國家的超級方便、隨意進出的大量跳板,無論攻擊者身在何處,大概都不會忽略阿富汗這一站超好用的跳板。
對資安防護人員來說,跳板越多,追查的難度就越高,有時候還需要各國合作才能繼續追查,如果我們無視世界上許多像阿富汗這樣的國家的網路安全,就等於是在提高我們自己的資安風險。
今年的亞太網路治理論壇(APrIGF),主題強調虛實空間的融合,其中一個重大議題就是安全問題,特別是即將進入物聯網(IoT)時代,我們真的準備好面對 IoT 可能帶來的衝擊了嗎?
網路安全不是一個國家的事情
在亞洲許多新興國家,其實都面臨跟阿富汗類似的情況,對他們來說「網路」像是從天而降的東西,碰的一聲突然出現,讓一切都變得很方便,但多數人都沒有相關的基礎知識,特別是安全方面的警覺性極低,使用盜版軟體、容易破解的密碼、下載不安全的 App。「我曾經下載一個 App,它要求取得我所有聯絡人的資訊,但它不過是一個小遊戲,它要這些資訊幹嘛?」新加坡南洋科技大學教授 Ang Peng Hwa 說,只要他按下同意,就等於將他幾百個朋友的電話、生日、地址、email、fb 帳號的資訊,傳送到中國的某個伺服器去了。「所以網路安全不是一個人的事情,而是廣泛的互相影響,光求自保,是沒有用的。」
同樣的,這也不是一個國家的事情,過去我們處理國安事件,肯定會高度保密,只有少數人能知道,但是面對網路安全,其實更需要政府跟企業用開放的態度去面對,道理很簡單,當你發現自己的網路架構存在漏洞時,有心攻擊的人一定比你更早知道,還不如開放出來,讓各界集思如何補洞,並改善整個系統的安全性。
這也跟 IoT 密切相關,因為許多物聯網裝置都強調簡單易用,有些裝置甚至不用設定就可以自動聯網使用,帶來更龐大的安全隱憂。「IoT 將會創造出 10 億個蠢用戶跟大量不安全的聯網裝置,這是許多政府跟物聯網公司都不願面對的醜陋真相。」國際開源軟體中心創辦人 Satish Babu 指出,許多物聯網裝置為了降低成本,幾乎沒有什麼安全可言,而這些使用者根本不知道自己放了什麼東西在家裡或身上,都會成為有心人士利用的工具,甚至威脅到自己的生命安全。「我喜歡寫程式,那讓我很開心,但是放一個不知道誰寫的程式的東西在我心臟旁邊,我絕對不會開心。」(這裡指的是去年發生的心律調節器被入侵事件)
國際協作的解決之道
面對跨虛實、跨國界的網路安全威脅,在今年 APrIGF 舉行的近百場工作坊中,大量的討論了國際協作和多方利益關係人( multi-stakeholder) 的運作方式,也就是參考 ICANN (Internet Corporation for Assigned Names and Numbers)的作法,將這些事務交給非政府的多方利益共同體來處理,也許會是未來更有效,也更民主的執行方式。
今年 YIGF(青年網路治理論壇)也積極參與,來自亞洲多國的年輕人,更容易放下國家本位思維,從區域角度出發,探討如何運用網路來面對性別歧視、校園霸凌、環境保護與網路犯罪等議題。
這次論壇上的討論內容都將會整理出版,並且在 10 月份的全球網路治理論壇上提出,與世界各國會員共同討論。
網路打破了國界,帶來便利與連結,同時也帶來更複雜的犯罪與威脅,當我們享受了那麼多網路帶來的好處後,是不是該還點債了?當然,不是說我們欠了誰,而是多花點心思去學習正確的知識,如何保護自己的資訊安全,同時也讓身邊的人一起安全,其重要性不該亞於其他議題。
封面圖片來源:APrIGF
留言討論