今天收到不少朋友對於昨晚發文的反饋和意見。謝謝大家，請繼續跟我們分享！
　
針對上一篇文中提出的結構性問題，我們在這裡補充一下：
　
政府資訊體系龐大，有太多的問題，也有很多的作業方式需要改善，體制內的相關公務員都清楚。這些的確需要面對，但從政策擬定的角度，我們看到幾個核心的制度問題，必須優先處理，專業人員才可能確實解決執行面與技術面的問題。
　
💾 缺乏專責單位
　
我們過去跟國外專家與官員交流、檢討政府資訊安全問題、討論解決方案的時候，碰到的第一個挑戰，就是回答「這是誰的工作」（Whose job is it? Who is the "mission owner" responsible for protecting your network and information?）。誰負責規劃系統、平時監控存取紀錄與異常行為、要求使用者遵守安全規定（並有權力懲處，如暫停個人的系統權限），甚至依照遭受攻擊的模式而調整系統架構？這個專責單位需要被授權，為機關的系統與資訊安全負責。
　
任何曾在具相當規模企業工作的人，對「安全官」（security officer） 的角色都不陌生。政府是我們國家最大、最重要的企業，但目前沒有人在第一線「主責」機關內的安全事務。
　
保護政府資訊所存在的問題，涉及太多單位──國發會主管 GSN（政府網際服務網）骨幹；行政院資安處負責資安的政策制定、工作執行與產業發展；國安局負責情報蒐集，掌握境外勢力對政府的攻擊（但不負責防護）；調查局最近成立資安工作站；然而實際上坐在政府機關內部的廉政署政風人員，名義上負責「機密維護」，實際上著重在肅貪──結果是權責不明。有專責，才有負責，也才可能究責。
　
💾 缺乏資源
　
政府有1,300多個中央行政機關與事業機構（不含學校）；所屬公務員近17萬人（若納入國軍，總人數就加倍）。若在每個單位設置資安人員，不但不切實際，也無法確實因應政府所承受的系統性攻擊；因為攻擊模式只會不斷調整，並且找最弱的一環來切入。
　
合理的政策方向，應該是由中央單位管理、以軟體設計取勝的資訊系統（centralized and software-based solutions）；少一點預算在硬體採購、多花一點心思在系統設計，這必然是雲端的架構。最核心的安全工作不能外包，需要培養體制內的專業人才（需要預算和員額），因為沒有委外廠商會比自己人還在乎內部安全。
　
💾 缺乏公務的認知
　
如果有專責單位負責機關的資訊安全、有更符合需求的資訊系統，我們接著必須要求公務只能透過公務裝置（無論電腦或手機）處理。如此，才可能監控任何系統上的異常，並保留紀錄。這表示使用習慣的改變：公務必須透過官方電郵、不可以用 Line 或個人電腦；機敏工作不能遠距處理；有些網站不能連公務系統。這些看似革命性的規範，其實在國際企業工作的台灣人都天天遵守，相信我們的政府也可以做到。
　
若要求官員更謹慎管理政府的機敏資料、用公務電腦與手機執行「公務」，那麼政府檔案的定義就必須擴大。目前，依照《檔案法》，有「依照管理程序，而歸檔管理」的資料（換句話說，有掛文號的公文）才屬於公務檔案。
　
關鍵是：政府資訊只會持續地數位化；既有的漏洞、特別是體制上的缺陷，若不改善，也會持續被利用。這一次，因為外洩的資料有其政治渲染力，社會大眾才看到問題。政府系統在平時頻繁地遭受入侵，早就在發生。
　
政府所面對的挑戰，許多國家與跨國企業都親身經歷，以此借鏡，能避免走冤枉路。我們平日與國內外產業界接觸交流，深知很多專業人才樂意分享經驗。政府資訊是全民資產。我們必須善用這次教訓，勇敢面對、檢討並改善政府的資安機制。
　
🍎🍎🍎
感謝蘋果新聞網《蘋果日報論壇》刊登以上評論（明早紙本見刊）：
https://tinyurl.com/ybvlz6ub

〈自由時報社論〉

正視台灣被高度滲透的問題

前不久，又有一起共諜案被破獲，國防部電訊發展室退役邊姓中校因涉嫌違反國家安全法、國家情報工作法遭到逮捕，執政黨立委警覺到了情況的嚴重性，本週在國會質詢了國防部長；很可惜，由於專業關照面不足，立委問非所問，官員答未該答，浪費了一個好問題。

當天立委出示數據顯示，從二○一一年到二○一五年，現役或退役軍人涉共諜案共三十八案，嫌疑人數達七十六人，真正起訴僅四十人；嫌疑人仍可到處「趴趴走」，固然必須關注，但識者認為，這只是森林中的一樹，維護國家安全的反滲透工作，長期以來功能弱化，才是新政府必須劍及履及掌握的全貌。

現代的情報工作，不論是平時與戰時，與台灣敵對與友好的國家全都在做，戰時在贏得勝利，平時在預防戰爭，同時藉由蒐集商業、科技情報獲取國家利益。前國安局長就曾經在立法院報告：台灣的ＩＣ設計、電子科技兩大產業被中國滲透嚴重，說明凡此全都是國家安全的範疇。

既言滲透，就要反滲透，簡單的定義就是防範敵外國家對於台灣的滲透竊密。在政府的既有體制中，主要包括三大領域，分別是國軍、政府，以及社會安全。在軍中的部分，由於有正式的專人負責保防工作，近年來不管是退職者接觸在職人員、或現任者直接洩漏情報，一經察覺，比較能夠迅速呈報反應，這與近年破獲的案件多為刺探軍機者不無關係，因此從另一角度比較，這塊或許還算不是最壞的。

值得嚴肅探究的是，這麼多年來，行政體系沒有一個共諜案件被發現，是中國對台灣政府機密沒興趣？還是我們國家公務員的保防固若金湯、百毒不侵？事實上，內行的都知道，文職人員的養成與訓練，相對警覺較低，理應更容易被吸收，但竟無一宗案件被破獲，恐怕必須檢討：原本在行政機關負責政治偵防的「人二室」，因早期戕害人權的紀錄太壞，在陳水扁政府任內被廢除，改為政風單位，然政風多偏重查處貪瀆不法，反滲透的專業不足或不重視，導致保防功能形同虛設的現狀。

至於在社會安全方面，按照法定職掌，調查局應發揮最大的能量，也就是國內安全調查、保護機密安全，以及防制敵諜滲透等幾個面向，例如經由各種合法及非法管道來台，進行發展組織、蒐情、竊密、破壞經濟秩序及擾亂社會治安等不法活動，就是調查局要嚴防的重點。馬英九政府八年疾行傾中政策，中國情報人員在台灣像在走灶腳，調查局的形象主要在犯罪調查；然而蔡英文政府上台五個月，外界從新任調查局長的談話中，尚看不出有重新重視反滲透工作的跡象，然中國人士密集到台灣調研、蹲點，則是依舊猖獗。

此外，在手段上，網路所帶來的資安問題尤其日新月異。美國繼政府機構、民營企業和民主黨全國委員會相繼被駭，前不久第一夫人護照掃描檔又被公布，引起網路安全出現漏洞的疑慮，台灣被攻擊的情況更不在話下，而我們的主政者是否就此具備充分認知與危機意識，卻仍有待觀察。例如，陳水扁時代決定將資安工作交辦行政院而非國安情報單位負責，馬英九時代剩下表面文章，現在蔡英文政府設了資安處，也準備通過資通安全相關法律，但是政府資安規範應從上而下，核心業務專人專責的治理原則，卻一再受到「外包」等行政惰性的挑戰，不也是新生的盲點？

戒嚴時期的「匪諜就在你身邊」，到了民主時代更加進化，有關竊密的方法，何止是人員被收買而已；間諜跑到你身邊的型態，更是超越形體，無孔不入。對於台灣被高度滲入的問題，新政府比前政府有感，但是還有待拿出具體辦法，供國人檢視。