▎ 從行政院國發基金創業投資電腦系統遭駭事件，看台灣資安現況 🧐

「資安即國安，切莫淪為口號！」

有鑑於近年來國內外資安事件頻傳，虹安於國會問政也經常關心我國資安政策與規劃。甫於上個月，行政院國家發展基金的創業投資電腦系統遭疑似來自中國大陸的駭客惡意入侵，顯現出政府機關的資安意識與作為仍然相當薄弱，所謂的「資安國家隊」似乎僅淪於口號而並非具有實質作用？

💡前情提要💡
6月底，行政院國家發展基金的創業投資電腦系統突然無法開機，近日終於釐清原因，該單位的電腦遭疑似來自中國大陸駭客惡意入侵，導致系統主機遭植入病毒程式，該單位主要負責國內產業新創與公司轉型業務，此事件已通報為三級資安事件，影響層面涉及投資企業與融資業務、個人資料恐已外洩...等，屬於極度嚴重的資安事件。

虹安曾多次公開呼籲，政府或企業要提高資安意識，且應定期執行模擬演練攻擊；政府也應該儘速盤點相關政策，加速產官學研資安防護能力。比如說定期執行紅隊演練攻擊（模擬駭客入侵，對各企業端點進行攻擊）的服務，藉此找出資安防護的弱點加以改進。全世界皆面臨著資訊戰以及日益猖獗的惡意竊盜資料的網路攻擊，近年更有許多企業遭到駭客組織的「勒索軟體即服務」（RaaS）新興手法攻擊，公私部門之資安意識、能力和人才提升，勢必得馬上佈建、徹底執行。

🎯🎯🎯國發基金的創業投資電腦系統遭駭，問題可能出在哪？

① 重要主機資訊系統並沒有資安團隊或資安人員進行主動積極防禦，突顯資安人才短缺問題造成的影響仍持續擴大。

② 資訊系統委外開發及維運，顯然並沒有進階資安防護的要求，造成甲乙雙方置系統安全不顧。建議應檢視所有目前政府重要系統委外營運之合約，無論新舊，對於資安的要求是否符合規範。

③ 國發基金系統既然委外由兆豐銀行開發及維運，此事件是否表示兆豐銀行在資訊安全管理上有所疏漏，不知是否有檢視兆豐銀行整體資安防護措施？雖然在金管會要求下銀行都有專屬的資安團隊及應該做好的防護，不過今天的事件，是否代表著兆豐在資安維運上存在某種瑕疵？又，這類的事件是否會在銀行系統中發生？

如果今天遭竊的不是所謂四五年前的舊資料，而是所有納稅人的血汗錢以及國庫資金？後果不堪設想。

所以，當我們發現國發基金委託外部建置的系統至今毫無有效的資安防護措施、一遭攻擊就破功，著實令人震驚！此舉形同開大門邀請別人來攻擊，#門打開嘸人顧厝，這樣的疏漏相當嚴重也不可容忍。試問數以百計政府機關單位中，是否可能還有類似情況？人民、企業、甚至是國家該如何有保障？

剛出爐的《109年國家資通安全情勢報告》才寫道：109政府單位資安稽核重點是以「行政院所屬部會行總處署」為主，隸屬於行政院的國發基金系統竟然仍存在著資安薄弱的問題！

🔊 虹安再度呼籲，行政院應該要針對所有政府機關與國營事業做 #資安總體檢，找出系統弱點漏洞，否則以台灣政府單位每年遭受2-4000萬次網路攻擊的頻率(2018年公開資料)，政府重要機密與民眾個人資料如何能有效保障安全，實在令人高度憂心！

《文茜的世界周報》目前沒有特效藥，全球以不同方式治療新冠狀病毒病患

【武漢肺炎防疫正進入第二階段，也就是各國必須透過封境焦土對抗病毒的快速變異，此時各國除了積極研發疫苗，同時也從現有藥物找尋治療方法。目前已知一種抗伊波拉藥物治好了美國第一例確診病例，科學家希望能藉此找出有效對抗冠狀病毒的標準疫苗，另外結合對抗愛滋病及流感病毒藥物的雞尾酒式療法，甚至是抗瘧疾藥物都已被證實具有療效，正有待各國政府在安全考量優先的前提下，用來挽救重症病患。】

{內文}
當2019新型冠狀病毒防疫進入第二階段，也就是各國必須透過封境焦土，對抗病毒快速變異的同時，各國對病例個案的掌握與疫苗藥物的研發，就將是一場與時間的賽跑。

(Dr. Michael Ryan/世衛組織應急方案執行主任)
目前尚未證實新的冠狀病毒存在有效療法，但是在以往與冠狀病毒有關的流行病中，我們已經看到，高標準的護理和提供重症監護，尤其是呼吸支持和對其他器官的支持非常重要，如果從年齡和性別分佈上看，這種流行病主要會導致老年患者重病死亡，其中許多人都有潛在的疾病

為了達成這項不可能任務，近期在世衛組織號召下，美國率先召集多位權威科學家，齊聚美國麻塞諸塞州劍橋市這家生技公司，欲以破紀錄時間生產出全球第一支2019新型冠狀病毒疫苗。

(Stephen Hoge\Moderna生技公司總裁)
當這個新型冠狀病毒率先被發現時，首先要做的就是有人必須從該病毒序列梳理出頭緒並與世界分享，中國政府不到一個月前就做到了，我們和我們位於國衛院疫苗研究中心的合作夥伴下載了該信息，並開始努力確定病毒表面上，哪些關鍵蛋白是我們可以針對其開發疫苗的，我們正努力嘗試在三個月內將其投入人體，並進行臨床研究

這家(Moderna)號稱最具革命性技術的製藥公司，標榜成功關鍵在於讓人體在自己細胞內製造藥物，而不是在實驗室配置用於服用或注射的藥物，相較於傳統疫苗研發必須培養大量病毒的曠日廢時，他們採用了所謂的「信使核醣核酸」，也就是mRNA有效縮短了這個過程，換言之，就是在病患體內植入信使RNA，刺激人體細胞製造治療所需要的蛋白質，因而得以自行痊癒。

(Juan Andres 生技公司技術部門主管VS.記者)
我們期限非常緊繃 如果這種疫苗證明有效 那麼您是否正在準備 並準備好接受可能生產足夠劑量 來治療武漢等熱點地區的疫苗 我們相信 如果需要 我們可以非常快速地量產 如果需要的話 我們在談論的是成千上萬劑 我想我們甚至可以談論數百萬

儘管看似信心滿滿，但全球迄今沒有一家藥廠敢拍胸脯保證，能在今年夏天，甚至是秋天前準備好疫苗，那麼現有的藥物若能讓病情獲得改善，就將是遏阻疫情繼續擴散的一大關鍵，根據一篇發表在《新英格蘭醫學期刊》的文章，一種過去用來治療伊波拉病毒的藥物瑞德西韋(remdesivir)，已在華盛頓州成功救治一位感染武漢肺炎的重症病患，這也是美國第一例2019新型冠狀病毒檢測為陽性的患者，這對全球防疫來說極富意義，不只是主持研發工作的是一名來自台灣的傑出女性楊台瑩，中國當局近期已和吉利德藥廠達成協議，將對感染新冠病毒的患者進行藥物瑞德西韋的廣泛臨床試驗。更重要的是，冠狀病毒雖然在流行過程中會不斷突變進化，但若能擁有一種能對它產生普遍效果的疫苗，將有助於人類對抗不同冠狀病毒所產生的疾病，諸如SARS MERS等，而不必像流感一樣，每年猜測新的病毒株，生產不同的新疫苗。

(Gregory Glenn/美疫苗研究計畫主持人)
由於冠狀病毒可能會在流行過程中進化，擁有一種能夠對它產生廣泛反應的疫苗非常重要，這將涵蓋這一點，突變不會改變療效，所以這將是一個很好的特性，另一件事是，我們認為很可能會出現「第二波感染」，所以就算它可能會在夏天消失，染病數量大幅減少，但現在社區已經感染了這種病毒，他們仍然無法抵抗這種病毒，所以您必須要能應付第二次流行，流行範圍更大 範圍更廣，所以我們希望做好準備

幾乎同一時間，醫界透過抗愛滋病毒藥物，抑制病毒繁殖與攻擊免疫系統的能力，也在對抗新冠病毒上證實獲得明顯療效，有醫師稱，再結合另一種被稱為奧司他韋(oseltamivir)的抗流感藥物，所形成的雞尾酒療法，也能成功削弱新型冠狀病毒的破壞力，但由於可能引發的副作用不明，包括中國 澳洲和法國態度都傾向保守，希望先了解病毒在細胞內如何複製，找出病毒弱點後，在安全的前提下 再進行大規模人體試驗。

(孫燕榮/大陸科技部生物中心副主任)
我們還發現了磷酸氯喹 法匹拉韋，以及中成藥中，一批具有抗病毒活性的上市藥物，比如說磷酸氯喹是已經上市的一種抗瘧(疾)藥，在體外的研究中，已經展示出了非常好的抗新型(冠狀)病毒的活性，那麼現在我們也正在加緊的，遞次地來推進動物實驗和臨床實驗，在臨床實驗中已經初步顯示出來了，磷酸氯喹對於這一次新型冠狀病毒肺炎是有一定療效的

值得注意的是，針對近期各國為了防堵疫情，分別祭出封關等旅遊限制，這固然是將病毒阻絕於外的一種選擇，但約翰霍普金斯大學資深公衛學者，卻以歷史為鑑 深感憂心。

(Jennifer Nuzzo/約翰霍普金斯大學公衛學者)
世界衛生組織已經思考過這一點，並表示各國不應採取，他們認為不會有幫助的措施，他們實際上擔心，這可能會加劇疾病的威脅，使人們和物資難以運送到需要的地方，而那些其他國家並沒有存在這樣的疾病和威脅，甚至由於擔心通報個案所導致的經濟損失，通報病例可能低估了，但是您也知道，這是我們在2009年嘗試過的方法，當時(北美)發生流感大流行，許多國家都試圖通過限制從北美旅行來阻止這種病毒，該病毒最初是在美國這裡發現的，他們試圖隔離來自美國的飛機，實際上，他們發現這些措施無效，他們可能加劇了這種流行病的危害，而且他們當然也沒有阻止這種病毒的傳入

防疫視同作戰，就在這個危急時刻，長期關注全球流行疾病，並曾大膽預言病毒可能會從大陸市場出現，最終蔓延全球，微軟創辦人比爾蓋茲，近日就率先跳出來宣布將投入最高一億美元，支持全球應對2019新型冠狀病毒疫情，這筆資金將用於加強病例發現 隔離與治療，並保護弱勢 加速疫苗藥物開發，及尋求最佳診斷方法，這將是人類歷史上又一關鍵時刻，疾病會在人類之間，創造出另一道保護主義的屏蔽，抑或是打破疆界的團結契機，2019新型冠狀病毒考驗的不只是人性。

2019年勒索軟體威脅不斷，駭客鎖定企業與其資訊服務供應商的態勢，持續成為關注焦點，而勒索軟體進化出的新手法也備受注目。

在12月就有一隻名為Snatch的勒索軟體，演化出可在Windows電腦安全模式下運作的能力，雖然根據提供勒索軟體受害者諮詢服務業者Coveware的2019前3季報告指出，Snatch在勒索軟體市場僅有2.3%市占，但這些攻擊新演進都將讓勒索軟體變得更難防護。

在本月還有一些特殊的攻擊手法被揭露，例如有加密貨幣採礦殭屍網路營運組織的攻擊手法，近期開始將惡意程式嵌入到歌手Taylor Swift的照片之中，並上傳到公共儲存空間，試圖騙過安全偵測軟體的檢查，目的是為殭屍網路提供更新。

此外，針對Docker系統的罕見大量掃描網路活動被資安公司Bad Packets揭露，有駭客在網路上掃描曝露的API，除了植入挖礦之外，還能關閉系統的防護機制或留下後門；以及關於大多數Linux版本被新墨西哥大學的幾名資安研究人員發現，含有編號為CVE-2019-14899的安全漏洞，將允許駭客挾持VPN連線；還有關於中國駭客組織APT20最近一波攻擊行動破解了VPN網路的雙因素認證機制，經資安業者Fox-IT公布出，也是12月引起相關領域重視的資安問題。

較特別的是，12月還有一些多數人容易輕忽資安防護議題，受到重視。例如，本月美國FBI特別警告大眾，家中使用的筆電最好不要與各類IoT裝置（如連網攝影機、遊戲機及智慧喇叭等）設於同一Wi-Fi網路。這樣的提醒，突顯過去大家可能低估家用IoT安全所帶來的風險，並成為本月最受大眾注目的資安新聞。此外，對於軟體開發工程師而言，由MITRE機構定義的通用弱點分類CWE，在本月更新了2019 CWE Top 25列表，因8年多來首度更新而成焦點，當中彙整了最常見也最嚴重的軟體錯誤，可提醒程式碼撰寫時需注意的潛在安全問題。

至於國內方面的資安事件中，近來企業或機關收到民眾通報釣魚網站並發出警告的案例增加，包括中華郵政與經濟部都發出公告提醒有假冒公司網站與名義的情況，值得注意。另外，臺灣在量子加密通訊技術上的初步進展，以及物聯網資安標章的推動，也都成為12月相關領域關注的資安新聞。