「這是我們那天聚會的照片,照片已經上傳了 http://abc.com」
「我的手機掉了,通訊錄都空了,可以給我你的電話嗎?」
以上這些對話,看來熟悉嗎?
只要有用即時通訊軟體Line的人,或多或少都曾經接到來自親朋好友、甚至是陌生人傳來的詐騙簡訊。之前基隆市副議長宋瑋莉、新竹市副議長許修睿都曾發生Line被盜用,詐騙集團傳訊息給他們的朋友去要求ATM轉帳或是去超商買點數卡的新聞。
柯P上台後,很自豪的就是他的Line群組機動治理市政,把一線主管納入Line群組,一有重大事件,立刻透過群組聯繫,即時反應。之前台北市羅斯福路發生鷹架倒塌事件,秘書長蘇麗瓊就是透過Line群組下令,讓相關人員至現場處理。
柯P追求效率的決心,我們絕對支持。這裡要談的,不是使用Line的行為,而是錯誤的工具。近幾年智慧型手機、平板電腦的發展,也讓辦公場所掀起了行動革命,所謂的BYOD(Bring Your Own Device)新名詞也因此而生,員工用行動裝置收發信件、訊息,為工作帶來了方便,但是對於企業的資安,卻開啟了一道敏感資料外洩的後門。
不管政府或企業,使用即時通訊軟體是為了提升資訊溝通的效率,但是員工用Line、Whatsapp、Wechat這類的軟體,對於資安管理人員來說卻無法有效的監控,過去,使用電子郵件,企業內部會有備份、過濾的機制,可以預防企業內的機密資料透過這些管道被洩漏出去,而事後也可透過備份紀錄去追查是從何管道流出。柯P跟他的主管們Line來Line去,想必傳的都是跟市政有關的機密,我不禁要擔心的是,這些對話紀錄,是否有側錄備份?會不會有機密檔案透過Line群組流傳?
美國總統候選人希拉蕊最近被捲入的電子郵件風波,就是他在擔任國務卿期間,使用私人電子信箱處理公務,且沒有將郵件保留在國務院的伺服器留做紀錄。根據美國聯邦紀錄法規定,聯邦官員所撰寫或接收的電子郵件都必須留存於國務院的伺服器,只有在緊急時刻才可以通融使用私人電郵帳號處理公務。同樣的,柯P跟他的一級主管們用line辦公,用的是私人帳號?還是特別申請的公務帳號?會不會發生駭客盜了柯P的帳號,叫市府主管把機密資料寄到駭客的私人信箱之類的案件?所使用的手機,是不是有安全疑慮?之前小米手機都被爆出會自動上傳個資回北京的伺服器,萬一柯P的主管有人用小米機,會不會也變成中國駭客的竊資對象?過去,美國的黑莓機之所以會竄起,就是因為較佳的安全性,通過了美國政府的安全認證,歐巴馬總統至今都還是用黑莓機作為主要聯絡用。
我國行政院其實也曾經因為Line的資安疑慮,要求公務電腦不能使用Line等通訊軟體,並改以國人自行研發的揪科(Juiker)做替代 (諷刺的是此軟體後來也被爆出有資安疑慮)。另一套台灣人開發的軟體team+,在客戶導入案例裡,台北市政府就是他們的客戶之一,不知道柯P的團隊是不知有此軟體或是根本沒人去提醒他有這套軟體可用?
政府最令人詬病的就是效率,我們樂見柯P打破過去的框架,繼續嗡嗡嗡,但是,請選擇更安全的工具吧。