【開放文化觀點】數位身分證在台灣:被低估的隱私及資安風險

數位身分證究竟有哪些疑慮?又能透過哪些措施避免隱私外洩甚至避免國家安全受到影響?
評論
Shutterstock/達志影像
評論

本文作者何明諠,編輯 OCF Lab。本文章由 OCF Lab 投稿,授權條款採 創用 CC BY (姓名標示) 4.0

台灣自 2015 年起再次啟動全面換發數位身分證的計畫,這是政府在 1998 年及 2005 年後,第三次正式啟動與數位身分的計畫。

本次製作數位身分證的政策自 2015 年發起至今歷經了多次修正。目前最新的計畫,是政府預計將現有的身分證結合自然人憑證,製作成新式數位晶片身分證,並預計於 2021年 1 月於澎湖縣、新竹市、新北市板橋區及永和區試辦, 2021 年 7 月開始全面換發。

在台灣,所有國民皆須領取身分證。目前的卡片雖是以紙本製作,但國民若希望以此身份進行數位驗證,亦可「自願」向內政部申請「自然人憑證」。這是本次全面換發前即已行之有年的制度。

圖片來源:新一代國民身分證換發系統建置及維護案建議書徵求文件-第五次招標(2020/06 版本)P.31

新式的數位身分證除沿襲所有人皆需領證的規定外,卡片的材質則更改為塑膠卡,卡上有一晶片,裡頭存放數位化的身份資訊及自然人憑證。晶片必須強制啟用,僅自然人憑證一區可選擇是否關閉。按內政部的規畫,國民可透過以此卡進行數位身分驗證,進而存取公、私部門的服務,目前並沒有特別限制卡片的適用範圍。

台灣政府當前的規劃,在過去這一兩年內,引發了外界的高度質疑(註)。主要疑慮如下:

  1. 新式數位身分證未全面評估資訊安全風險:新式數位身分證可能大幅擴充數位身分的應用範圍,但政府在考量資訊安全的風險時,卻只專注於晶片本身的生產風險,低估了其他與服務相關的系統與軟體風險,更不見其將可能儲存人民數位身分資料的單位的資安能量納入風險考量。
     
  2. 新式數位身分證增加個人遭受監控的風險:個人進行數位身份驗證,可能會在政府或企業端留下大量數位足跡。這些數位足跡可用於系統性地追蹤、分析個人行為。此外,T-Road 提高不同政府部門間資料交換的可能,或數位身分證所存放的高解析度照片(300dpi & 600dpi),亦引發程度不一的國家監控疑慮。針對上述風險,外界過去早有建議應同時設置反監控機制供人民使用,但政府並未採納。
     
  3. 新式數位身分證有國家安全的疑慮:製作數位身分證的軟體廠商(資拓宏宇)被發現在中國承包不少公營金融事業的資通訊系統,因而招來系統元件共通的質疑,亦讓人擔憂廠商人員在進出中國時,被迫交出系統設計參數或專案的風險。儘管這些疑慮尚未釐清,數位身分證的相關標案仍在 2020 年陸續完成招標,輿論似乎無損政府推動數位身分證的決心。
     
  4. 政府無意透過法律控制風險:中央研究院法學所、司法改革促進會等專業民間團體皆認為,台灣的個資、資安法規無法因應數位身分證帶來的風險。然而,不同於德國、日本、愛沙尼亞等科技大國透過立法或修法來因應風險,台灣政府在這幾年的政策推動中,完全無意修訂法律,這也是整個政策推動中最為人詬病之處。台灣目前亦無個資保護的專責機關監管個資保護,是許多人認為政策不宜繼續推動的原因。

基於上述風險,公民組織及學術單位也有三點主要建議:

  1. 立即立法,確保人民可自行選擇是否領取數位身分證,並控制整個政策的資安及隱私風險。
  2. 建置獨立的個資保護專責機關,監管全國包含身分驗證相關行為在內的個資保護事務。
  3. 在前述動作完成前,停止換發數位身分證的政策。

       註:

  •  台灣人權促進會:〈【連署】反對全面換發晶片身分證〉聲明稿(https://www.tahr.org.tw/news/2648)
  • 開放文化基金會:「支持修法與公開數位晶片身分證規劃資訊」連署(https://www.eid.tw)
  • 中研院:「數位時代下的國民身分證與身分識別」研討會(National ID Card & Personal Identification in the Digital Era)(https://www.iias.sinica.edu.tw/seal_post/1104)

責任編輯:Mia
核稿編輯:Chris

延伸閱讀:



【一圖看懂】民生基礎建設的資安防禦為何重中之重?ACW SOUTH 沙崙基地打造天然氣、石化、變電所三大測試場域為大眾保駕護航

這幾年的新冠疫情、俄烏戰事奪走許多寶貴生命,讓網路流行一句「你的歲月靜好,是有人為你負重前行。」當我們能夠安居樂業過著恬靜生活,其實是仰賴一群人在社會各個角落堅守崗位,多數人才能享受無虞的生活及安全的家園。
評論
Photo Credit:TNL Brand Studio
評論

我們在食衣住行許多方面皆與水、電、天然氣等資源息息相關,在高度數位化的現代,臺灣在面對這些資源的基礎建設時,網路安全的防禦為何比其他國家更需謹慎面對?這件事可以從俄烏戰爭獲得啟發。

Photo Credit:TNL Brand Studio

從俄烏戰爭居安思危,臺灣每月面臨 4000 萬次的網路攻擊

有人說如果有一天真的發生第三次世界大戰,那一定會發生在網路上。從近期的俄烏戰爭來看,除了使用傳統槍砲坦克,更值得注意的是雙方都派出大量 IT 駭客,攻擊對方的油水電重要基礎建設的伺服器、通訊設施,企圖阻斷即時資訊,藉此癱瘓敵方的民生設備運作。

事實上,一般駭客不會主動攻擊一個國家的基礎建設,大多是鎖定企業等級為目標,像是美國燃油管線營運公司,受到來自東歐的勒索病毒攻擊,被迫暫停營運同時還要支付新台幣 1 億 4,000 萬元的贖金,造成當地民眾恐慌,發生一波搶購燃油熱潮。

而臺灣因為政治戰略的因素,外部駭客總是虎視眈眈,想要癱瘓我國的民生關鍵基礎設施。過去幾年間臺灣每月平均受到 2,000 萬到 4,000 萬次外來攻擊,甚至懷疑一起大型惡意軟體攻擊,幕後的駭客是有國家力量在撐腰。

臺灣民生建設資安防禦迫在眉睫,ACW SOUTH 沙崙基地扮演關鍵角色

身為島國的臺灣,電力、石油、天然氣及水利等資源設備,是供應國內經濟發展及民生需求的重要資產。面對各項能源設備資安的防護,我國經濟部長王美花過去就曾公開表示,「油電水等關鍵設施假使被破壞,後果不堪設想,所以資安是重要基本功,一定要發展做好防護措施。

身為國內首屈一指的「ACW SOUTH 沙崙資安服務基地」(以下簡稱 ACW SOUTH 資安基地),承接起重責大任,提供資安實驗場域,模擬攻防演訓及產品驗測服務;也會邀請資安服務廠商與工控營運業者到沙崙場域,進行實作的技術交流。

ACW SOUTH 資安基地計畫團隊表示,「透過資安服務商與工控營運業者的交流分享,有助促進產業對於工控資安了解與場域運用;同時我們也會辦理工控資安等相關課程、研討會及交流會,鏈結資安與工控業者幫助雙方有更深入的技術合作。」

目前 ACW SOUTH 資安基地的「關鍵基礎設施工控場域」主要有「石化/化工、天然氣及變電所」三套系統,模擬五套攻擊劇本,協助相關基礎設備的管理者,在受到攻擊當下知道該如何反應,及早因應強化資安防禦實力。萬一遭遇偽造工作站監看數據、偽造命令操控電磁閥和空壓機、電驛傳輸通訊中斷等攻擊事件,就能立刻啟動應變流程。

走訪 ACW SOUTH 資安基地關鍵基礎設施,了解三大測試場域功能有多強

場域一、石化基礎設施
2020 年臺灣兩大石化公司接連傳出資安攻擊事件,部分資訊系統感染勒索軟體病毒,造成加油站的支付系統停擺,導致消費者付款機制受到影響。

ACW SOUTH 資安基地提供的化工模擬製程實體運作機櫃,是全台首座「石化/化工製程水位控制平台」,模擬情境為一般化工反應槽連續式循環水流水位控制,以水為循環流體模擬,可提供研究測試與訓練使用、自主開發攻防情境。來現場測試的業者,可透過視覺式監控介面與 DCS 收集現場監測儀表的即時資訊,做到收集完整數據紀錄及警報,具體測試資安防護設備與解決方案。

場域二、天然氣基礎設施
美國一家天然氣壓縮公司曾經受到勒索軟體攻擊,駭客透過魚叉式網釣攻擊入侵 IT 網路,再找機會滲透到 OT 網路,並在這兩個網路部署勒索軟體,導致人機介面、伺服器完全失能,公司業務被迫停擺兩天。

ACW SOUTH 資安基地的儲槽氣體壓力監控系統,模擬情境為天然氣廠氣體儲槽壓力,使用空壓機模擬天然氣體,當氣體壓力高於或低於警報值時,系統畫面警示工作站主機,並同時記錄數據變化、警報和事件。

場域三、變電所基礎設施
2021 年台電董事長說台電遭駭客攻擊幾乎每天發生;俄烏戰爭過程,俄羅斯駭客也曾嘗試對烏克蘭發電廠下手,利用資料破壞軟體發動攻擊,藉此癱瘓高壓變電所,讓烏克蘭當地無電可用。

電力系統無論在發電、輸電及配電的任一部分發生故障,都有可能影響整個供電系統異常,因此保護電驛的作用就在及早隔離故障,避免影響到後續的相關設備。ACW SOUTH 資安基地的保護電驛監控系統採用 IEC61850 標準來進行網路通訊,可用來監視、記錄電驛突發事件,藉此模擬變電所遭受攻擊的危機處理。

要讓臺灣關鍵基礎設施免於駭客襲擊,可說是天方夜譚,但我們能做的是提升資安、強化防禦韌性,更有餘裕時間來防禦或補救攻擊。ACW SOUTH 資安基地的關鍵基礎設施,目前打造了三大測試場域,擁有可實際演練的攻防腳本,並進行資安產品的驗測。

ACW SOUTH 資安基地深知臺灣以製造業起家,尤其近年半導體領域成為舉世聞名的護國神山;另外因應全球淨零碳排議題,綠能也是前景可期的重要產業。因此在 ACW SOUTH 資安基地除了有關鍵基礎設施,還設計智慧製造、智慧綠能、半導體及物聯網等主題,可為相關業者做攻防演訓及產品驗測,有助提升我國整體資安防禦力。

「經濟部工業局 廣告」