當行政院近日發布民國一○九年國家資通安全情勢報告,提醒勒贖軟體攻擊已成為常態的同時,政府卻針對疫情開發各種APP,廣蒐全民個資。報告中歸納出資安威脅包括:持續出現個資遭洩案例,以及政府機關委外系統遭駭客入侵。報告中亦指出,去年因有某機關的維護廠商帳號密碼被破解,再橫向駭進其他資料庫,結果資料被加密勒贖。因此該報告建議網路架構應有適當區隔及存取控制。
資訊系統的後端都會有一個資料庫,需注意的是該資料庫的管理與安全的維護。若從資訊安全角度來看,是要防止資料庫不要被未經授權的人使用,尤其是不要因無法掌控的橫向連結,被駭客竊取或勒索。
最近政府針對疫情開發了兩套系統,第一套是「簡訊實聯制APP」,第二套則是「新冠疫苗預約平台」,看來這兩套系統的開發都已被橫向單位連線使用。以「簡訊實聯制APP」為例,自五月十九日啟用至今已蒐集龐大資訊,在指揮中心仍在研議如何用於疫情的時候,警方已連線用於辦案。而七月六日上線的「疫苗預約平台」,只是要了解民眾施打疫苗的意願,卻廣泛蒐集民眾個資。但政府突然開放十八歲以上也可以預約登記,導致作業爆量,須注意的是,不僅健保系統當機,藥局超商因橫向連結至預約系統,也跟著掛。
在大數據時代,未見行政院資通安全會報積極監督政府機關的資訊應用。打從疫情開始,政府就違反當初健保署規畫健保卡的初衷,健保卡直接被橫向連結,讓超商可以直接讀取健保個資,來驗證口罩實名制及振興三倍券的登錄作業,全民的健保個資自此散落在各超商的資訊系統中。完全輕忽國家資通安全情勢報告所提醒的網路架構應有適當區隔及存取控制。
現在「簡訊實聯制APP」已蒐集超過八億筆全民的手機號碼、造訪店家資訊及行動個資,蒐錄在不知名的資料庫系統中。再加上剛啟用的「疫苗預約平台」更爆量地將身分證及健保卡資料蒐集到另一個資料庫。若有心人士駭進這些資料庫,再以大數據分析或資料挖礦技術,將這幾個資料庫串連起來,就可勾勒出國人個別或群體的日常生活地圖、生活習性與行為模式。舉個例子,從身分證勾稽健保卡,得知每個人的健康狀況,然後再勾稽購買口罩次數與數量,再勾稽實聯制中個人常去的店家或場所,再勾稽施打疫苗的意願,請問可以統計分析出怎樣的資訊?
透過APP蒐集大數據儲存於資料庫,我們有兩個疑慮:一是被內部管理者拿去做開發目的外的其他用途(後門);二是被外部駭客入侵,盜取牟利。
若說針對疫情開發的各種APP,其蒐集的巨量個資,絕對是駭客垂涎目標。但我們真正擔心的是重演當年劍橋解析將APP蒐集的個資用於政治廣告,應用大數據分析並根據分析結果協助二○一六年川普的總統競選活動。
沒有留言:
張貼留言