公務機密禁用Line 專家提醒涉及隱私與機密避免使用熱門軟體

(2014年10月2日,台北訊)日前行政院長江宜樺表示因通訊軟體如LINE等有資安上的疑慮,日前已經通令要求公務員不要使用,並表示個人手機、私人電腦雖不在此限,但近期也會確認小米機是否有資安上的問題。針對政府機關的資安通訊施行的新規定,芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示,不論是否要限定某些通訊軟體禁用或是規定僅能使用由工研院自行開發的通訊軟體,工具本身沒有對錯或優劣,但一旦使用者多,受駭被盜的機率便大幅上升,尤其手機、電腦版交叉使用,更增加感染風險,與其限制單一軟體禁用,更應擴大到員工使用習慣跟資安知識才是根本之道。

杜世鵬表示國與國之間網路情資戰開打早就不是什麼新聞,不只小米有敏感的資訊回傳問題,連蘋果公司也正式承認的確可以透過後台監測使用者的訊息,而伺服器架設在第三國的通訊軟體,更是24小時可以收到用戶間互傳的資訊。以方便為使用基準,再輔以可愛貼圖等吸引用戶的LINE、WeChat等普及率高的通訊軟體,伺服器不是架在日、韓就是中國大陸,許多雜誌甚至還專刊教導上班族該如何用通訊軟體應對公事,顯見這些通訊軟體的使用範圍已經跨越到使用者的公、私領域。但為了使用上的便利,這些軟體都有推出電腦版方便用戶可同步使用,在多螢幕切換下,被駭客入侵與攻擊的機率自然大幅提升。而且不只通訊軟體,所有應用程式與工具都有可能是駭客釣魚的跳板,很難逐一防護。但就通訊軟體來說,若僅是一般聊天對話被監測當然傷害較小,但萬一是政府公務人員或是高層被駭客鎖定監控,在軟體內討論內容涉及商業機密,甚至是重要的國資情報時,輕則造成財務損失,重則可能洩漏國家機密。

杜世鵬提醒雖然政府單位有這樣警覺性,但一般人員若敏銳度不高很可能淪為防護做半套,建議除了進一步加強相關行政人員資安知識外,更應該從下到上,從上網裝置到使用行為都詳細規範才能達到較高的防護等級。尤其是習慣私人裝置接上公務電腦充電、硬碟交互存取檔案等,除了會增加單位內受駭機率外,難保駭客利用這些路徑當跳板,直接安裝間諜程式在公務電腦裡。此外,雖然政府的資安防護嚴密程度有分等級,涉及研究開發、國安層級的單位自然防護嚴謹度相對高,但駭客要是從防護相對不嚴謹的單位著手還是會中標,建議除了規定員工軟體使用規範外,也可因應不同部會的需求去加強資安防護的程度,因為LINE只是眾多工具裡使用率較高的軟體,應用程式的安全問題只是冰山的一角,但老舊作業系統的漏洞才是台灣遭受駭客入侵的原因,與其一一禁止造成使用不便,不如定期更新作業系統,並逐步拉高資安軟硬體的升級才是根本之道。