一組沙發、辦公桌、米色櫃子、兩張白板跟大螢幕,簡潔明亮又寬敞的空間,就是數位發展部長唐鳳位於延平南路的辦公室,沒有多餘擺設、雜物與華麗裝潢,正如唐鳳給人的印象-俐落、效率、不拖泥帶水的科技人。

我是廣告 請繼續往下閱讀
41歲的唐鳳從小就是天才兒童,12歲靠著自學開發軟體、16歲就創立電腦公司,成為網路創業家,更是國際知名駭客,本來想要退休,卻意外投入公共工作,從最年輕政委,當到最年輕部長,還被日本媒體封為「天才IT大臣」。

即使擁有這些華麗頭銜,初見唐鳳,卻發現他意外的謙和有禮,全然沒有「天才」的狂傲之氣,說起話來不疾不徐、特別溫和,一進門便溫柔地向記者打招呼,簡單整理了一下髮型後,才開始受訪。

成功抵禦裴洛西來台網攻 唐鳳自認是上任最滿意、最具挑戰工作

數位部於去年8月27日掛牌成立,至今近半年,說起短短半年執掌過程,最滿意及最困難的地方,唐鳳侃侃而談,剛好都是同一件事,就是數位部剛成立時,美國聯邦眾議院議長裴洛西訪台,中國發起的網攻事件。

「當時有些部會的官網突然連不上,還有車站、甚至7-11都出現一些竄改的訊息,而且量大到前所未聞,在一天內最大攻擊量就達平時的23倍。」這是數位部剛成立接到的的第一項任務。

唐鳳說,當時不但要幫助各個機關,且在中共開始軍演的同一個小時,數位部官網剛好上線,但採用最新技術、Web3為主的分散式架構,能夠完全排除阻斷性攻擊,以致數位部官網並未受到境外網軍干擾、1秒鐘都沒有卡住過。「結果這個講法一見報,很多人免費幫我們測試,還是都沒有中斷過。」唐鳳自豪地說,顯然相當滿意數位部打下的第一仗。

對比中共網軍擅長的大量阻斷服務攻擊(DDos),目的在於使目標電腦的網路或系統資源耗盡,讓服務暫時中斷或停止,導致其正常使用者無法存取,Web3是個分散型網絡,可為弱勢或少數族群(個人、團體與國家)建立「不對稱防禦系統」,後端採用星際檔案系統(IPFS),相當於把重要資源分散在全球各地的電腦,再加上加密技術讓內容不容易被篡改,讓中共極難瞄準下手。

唐鳳曾在受訪時提到,IPFS是一個分散式的、民主式的資料儲存解決方案,「也就是任何人都可以來幫我們,只要在電腦上面裝了IPFS的軟體或瀏覽器,就能幫忙備份數位部網站,或至少路由到願意備份的網站。」

「當時包含IPFS系統的維護者、或全世界許多正在使用這個技術的人,都寫信跟我們說,他們不但捐自己的硬碟、連線,幫助我們抵抗這種攻擊,且在技術上若還有任何需要,都會不計酬勞的來幫助我們。」唐鳳說這是令她印象最深刻、最感動的一件事,且證實這套防禦架構有效,能幫助其他機關找出因應方式。

全世界很少像台灣會遭遇如此大量的網攻,面對網攻消耗戰,唐鳳直言,民主陣營必須透過聯防方式,一起想新的架構、採取非對稱作戰,而非被各個擊破,國際間的守望相助很重要,可以讓防禦的成本減低。以往採單點防禦,若攻擊方資源比較多,防禦方就會被迫投入更多資源,且必須在每個環節都投入相應資源,一旦稍微少一點,攻擊方就會集中攻破該環節,可說是對攻擊方較有利的戰場,但當所有防禦方共享同一個IPFS、Cloudflare架構,攻擊方看到大家聯防起來,得阻斷分散在全世界各個角落的20幾萬台電腦,得投入不成比例資源,且若真的全數阻斷,包含Web3所有NFT都會一起斷線,造成連帶損害非常高,便會知難而退。

▲數位發展部長唐鳳位於延平南路的部長辦公室,簡潔明亮又寬敞。(圖/記者李琦瑋攝,2023.02.14)
▲數位發展部長唐鳳位於延平南路的部長辦公室,簡潔明亮又寬敞。(圖/記者李琦瑋攝,2023.02.14)
公私部門資安連環爆 數位部機關各司其職

除了國安危機外,今年數位部又迎來巨大考驗,短短不到2個月,就接連爆出4起個資外洩,掌握台灣2300萬人健康資料的健保署,爆發官員盜賣民眾個資,華航也被踢爆會員資料外洩,緊接著共享汽車品牌iRent爆出40萬名消費者的個資遭外洩、格上租車也發生訂單資料流出。

隨著國家資通安全研究院2月10日揭牌,各界都在看唐鳳要如何化解危機。

唐鳳提到,數位部負責全國政府機關共通系統,公務機關導入T-Road制度和「零信任架構」(Zero Trust Architecture)讓各部會網站來驗證資安,涉及個資機關之間只能透過政府服務網交換,強化端點守門機制。

所謂零信任架構就是秉持「永不信任,持續驗證」的理念,須重複、多方認證建立信任以讀取資料,數位部預計在今年底前,全面於T-Road系統(加密傳輸通道)中,導入設備、連線,身份三重驗證的零信任機制,並預計在2年內,優先輔導擁有大量人民個資的A級機關,再繼續輔導B級機關和其他縣市,如此,即使駭客攻破其中一個部分,其他部分還是能起到聯防的效果。

「數位部資通安全署則負責關鍵基礎設施、國安相關機關的資安政策擬定、稽核、確保改善計畫等,加強資安方面防護。至於民間資安事故、個資外洩,會由資安院在相關技術上給予協助,並進行全民意識的推廣。」

再設資安機關恐疊床架屋?唐鳳說明

由於台灣並無獨立專責的個資保護機關,導致各機關對個資保護各行其是,依現行法規,戶政資料外洩找內政部戶政司,健保找健保署,華航會員資料找民航局,iRent租車找公路總局等,行政院副院長鄭文燦日前說,明年8月前會成立個資保護的獨立監督機制,惹來外界不解,行政院有「資安會報」、數位部有「資安署」、「資安院」,仍管不好人民的個資與政府資通安全,還需要再設置一個機關?

唐鳳理了理頭緒說道,資安署、資安院都是行政機關,個資法管得比較寬、資安法管得比較窄,資安署主要在關鍵基礎設施、國安相關機關,若像華航確實屬於較重要機關,可能經民航局程序,納入資安署管理重點,這目前正在研議作法,但不可能全國各行各業、所有個資事故,都視為關鍵基礎設施等級,由資安署來管理,因此才會仿效日、韓、美國加州等,有獨立機關的設計,全方位納管公私部門,具行政檢查的權限,而數位部就是在技術、共用制度上給予協助。