文/游政卿(合勤投資控股資安長)
「我們是不是太晚看到這件事了?」這次 GCA 的憑證信任被撤掉,很多人第一時間問:「到底是誰的問題?」但我反而想問的是:「我們是不是太晚看到這件事,太久沒去管一個我們以為沒問題的東西?」
憑證這東西平常大家不會特別留意。它不像勒索軟體、駭客入侵這麼有戲劇張力,但它其實是支撐整個數位服務能不能被信任的地基。我們每天在用的身分驗證、電子簽章、網站連線、政府服務,背後都靠它撐著。這次不是哪個網站掛了,而是根本的信任架構出現斷層,這件事的嚴重性,我覺得很多人還沒意識到。
問題不是「有沒有做」,而是「我們有沒有一直在做」。
台灣必須提高憑證基礎建設的層級
看完這次的流程,有幾個關鍵點我自己印象深刻:
‧國際撤信不是一夕之間的事,那邊早有疑慮,只是我們反應慢、通報機制不明。
‧平常缺乏演練與監控機制,導致事情發生時,處理起來手忙腳亂。
‧最重要的是,台灣把憑證基礎建設這塊放在太低的層級在看待,不像資安事件那樣有高層關注、有通報、有應變架構。
我舉個例子,如果今天是某個部會的官網被攻擊、或是個資外洩,我們的應對機制是跑得動的。但這次是「信任本身」出問題,整個系統就沒人負責到底。不是沒有人做事,而是沒有一個架構能把這類事當成要長期經營的任務來處理。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG,與全球CIO同步獲取精華見解 ]
我們不是沒有能力,是真的沒有系統。老實說,台灣不缺有能力的技術人員。大家資安會做、CA 技術懂、稽核標準也熟。但這種憑證信任體系,不是靠幾個人撐得住的,它需要的是:
‧平常就有制度在跑。
‧突發狀況時有窗口能出來說明。
‧國際窗口知道我們在做什麼、不會默默就把我們踢出名單。
如果連這種「能不能被國際信任」的基礎設施,我們都還沒用制度來管理,那未來別說什麼數位主權、零信任架構,這些口號會變得很空。
數位信任不是理所當然
我自己的三點建議,大家參考看看:
- 把這種 Root CA 級別的關鍵服務,提升到國安層級或跨部會治理的架構來管。現在這東西太像技術單位在顧門口,但背後牽動的是全國公私部門的信任基礎。
- 平常就該有例行的國際信任維護機制,該交報告就交、該解釋就解釋、該反應就要有人接。不然再多的安全也會輸在溝通與制度上。
- 出事不可怕,但要有一個讓大家知道「有誰負責」的機制。不然這次憑證事件過去了,下一次可能就是別的關鍵服務出事。
我知道講這些可能有點刺耳,也可能有人會覺得「你們業界都馬後炮」,但說實話,我們不是批評什麼單位,而是希望整體制度能夠再往前走一步。資安不是靠誰神救援,而是靠制度讓人能穩穩把事做好。
[ 推薦閱讀:可解釋性 AI(XAI)解構詐欺黑箱,賦能企業決策 ]
如果這件事可以讓我們開始正視「數位信任不是理所當然」,那它就不是災難,而是一次被逼著成長的機會。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
