| ||||||
如果台灣發生如韓國一樣的駭客攻擊事件,是否有抵擋能力?多位網路資安專家表示,台灣的網路根本毫無資訊安全可言,問題在於政府放任不管、業者只會買證書卻未落實稽核的心態,一旦發生駭客攻擊,台灣上自國家機密、下至市井小民隱私,將毫無安全可言。 撰文‧許樶文 三月二十日,韓國遭網路駭客惡意攻擊,導致多家媒體及銀行電腦主機癱瘓,震驚全球;大家不免擔心,一樣的狀況發生在台灣,能擋得住嗎?多位負責網路資訊安全的專家對此回應:「很難、幾乎不可能,因為台灣的資安稽核根本沒落實。」台灣網站分級推廣基金會執行長胡貽圓表示,韓國從九○年代初期就開始發展「電子化政府」,還曾在二○一○、一二年兩度獲得聯合國電子化政府評比第一名,「別的不說,當台灣把『網咖』當成特種行業強力掃蕩時,韓國卻是大力扶植網咖,這個國家對網路資訊安全投注的心力,與台灣相比,是兩種截然不同的格局。」「如果韓國擋不住駭客,那麼,台灣更不可能。相同的網路攻擊事件發生在台灣,確實讓人懷疑台灣資安的招架能力。」胡貽圓擔心地說。 漏洞一:政府缺乏明確罰則在韓國事件發生後,台灣的金融業、電信業、政府單位等,都急著對外宣稱自己已經通過ISO 27001國際資訊安全標準認證,但實際上,不論是金融業、電信業,甚至於政府部門,都曾因為網路被駭而損失慘重。 例如○三年時,某官股行庫因一位實習生騙取了主管的網路金鑰,將兩筆共三.二億元新台幣的資金存入虛擬帳戶中,然後再轉入自己帳戶;○九年一月,內政部移民署大當機,花了三天才修復,而這中間卻有被列管的五人因為電腦當機而順利出境。 資安漏洞不止於此!○八年至○九年跨年夜時,某電信業者系統當機,經調查,發現竟是電信業者合作廠商的離職工程師,利用公司不知道的帳號與密碼入侵電信業者的主機,約有超過百萬名用戶受影響。 查證後,該電信公司對工程師提出告訴,但這家電信公司卻沒因為未盡善良管理人責任而被政府罰款。「如果相同的事件發生在美國,該電信業者會因資訊安全管理不當而被罰兩千萬美元以上。」一位在某國立大學負責教授網路資安的老師強調。 漏洞二:認證機構良莠不齊「台灣的資安問題,不是我們『技不如人』,而是根本沒有嚴謹的要求與管理。」這位老師表示,除了政府沒有明定資安管理不當的罰責、造成業者怠惰之外,從資安的驗證到後續追蹤稽核,都有嚴重漏洞。 事實上,在經濟部標準局檢驗局底下、負責管理驗證公司的財團法人全國認證基金會只核可七家驗證公司能發放ISO 27001的證書,而這七家公司目前僅發出三百多張,令人憂心的是:「企業稱自己通過ISO 27001認證、手上還有證書的,遠遠超過這數目。」一家在台灣僅輔導企業通過ISO認證、不發證書的顧問公司表示。 且這三百多張中,僅有不到十張是企業的每個部門都通過此標準認證,「剩下的多是企業的資訊部門通過驗證,所以駭客能從其他部門入侵。」這位老師指出,「在實務上,只要公司付三十萬元新台幣,找家驗證公司輔導,備齊文件,往往就能通過ISO 27001的認證。」但企業內部每一項資安細節是否真有符合ISO 27001的標準,恐怕未受到嚴謹檢核。 對於國內資安驗證的鬆散亂象,行政院國家資通安全會報召集人張善政也曾提及。去年,他在出席台北資安展開幕典禮時就提到,「台灣取得ISO 27001資安管理驗證的市場需求大增,但供應端卻是良莠不齊。」漏洞三:未依產業量身驗證在歐美先進國家,發放資安驗證的單位多為非營利事業機構,以在台灣也有分公司的挪威商DNV為例,DNV在挪威並不是「公司」,而是一個獨立的「基金會」,雖然驗證、稽核也會向企業收費,但因為非屬營利機構,不以賺錢獲利為目的,因此在檢驗與稽核上的公正性也較能受到信任。 而在台灣,負責資安的認證、稽核單位多半是營利事業。「在營利事業單位前提下,驗證、發證及後續的稽核皆為同一家公司,這樣的證書能有多少公正性?」一位教資安的老師提出質疑。 荒謬的資安漏洞不止於此,各行業該符合的網路資安條件都因產業特性而有所不同,即使企業能讓坊間的驗證公司每年稽核,也該按照產業類別,訓練專門人才稽核。 據了解,歐美先進國家甚至是中國大陸,負責稽核人員幾乎要求按照產業類別加以區分。但在台灣,目前驗證公司負責稽核的人員幾乎都是橫跨多種產業的「通才」。全國認證基金會就坦言:「目前驗證公司的稽核人員,確實沒有按產業別分類。」據了解,全國認證基金會曾在○二年八月出過一份報告,附錄建議依照歐聯執委會規則,將產業總共分為三十九類,依照專才分類稽核,但最後卻不了了之。 相較於台灣,大陸對於網路資安的要求,卻是比台灣嚴格、明確許多。大陸師法美國,從一九九五年開始,逐步建立網路資安技術要求的標準,並在準備工作告一段落後,在○七年六月頒布「信息安全等級保護管理辦法」,大陸並沒有遵照ISO的相關辦法,而是自己制定一套資安規則,由專門的公安部落實發證書制度,並定期派員稽核。 此外,大陸將資安分為五等級。反觀台灣,推動資安已經超過十二年,到○九年才訂出「資訊與資訊系統分類分級」工作項目,可是到現在,分類分級的標準都還沒有明確訂定。 ISO制定的國際認證標準並沒有問題,有問題的是台灣政府的心態與執行力,「橘逾淮為枳」,一個國際認可的制度到了台灣後,卻漏洞百出,值得相關單位深思。 什麼是ISO 27001? ISO(International Organization for Standardization),中文名稱為「國際化標準組織」,成立於1947年,是製作全世界工商業國際標準的機構,並不會頒發任何證書給企業,只能制定規範讓各國遵守。台灣原本是ISO創始國之一,但目前已經不是,不過仍參考ISO標準。 ISO 27001是資訊安全管理系統的國際標準,主要從1995年開始廣泛運用,它能確保其組織本身的資訊安全防護措施是有效的,但這僅是最基本的標準。 | ||||||
儘管九合一選舉前,台新金控董事長吳東亮為了台新金併彰化銀行懸而未決,高分貝嗆政府,但選後的十二月八日,彰銀召開股東臨時會選出九席董事,結果仍由官股大獲全勝,一舉拿下六席,包括四席董事、兩席獨董。 反觀原本有五席董事的台新金,這次只拿下三席,可謂慘敗,未來不但無法以子公司方式編列彰銀合併報表,還必須認列一百四十八億元損失,甚至可能被迫限期出售持股,台新金控總經理饒世湛黯然表示:「彰銀不再是台新金子公司,這是不爭的事實。」 多年來,彰銀第一大股東台新金想購併彰銀,但掌握彰銀泛公股股權的財政部,卻以「不圖利財團」為由,始終不肯點頭。這次彰銀董監事改選結果,不僅宣告台新金併彰銀正式破局,也代表二○○四年扁政府推動第二次金改以來,「民併公」(民營金控購併公股行庫)的政策目標,因缺乏實際案例,形同具文。 公公併雜音多公股自己都不看好 不僅「民併公」遙遙無期,就連馬政府提出「公公併」(公股行庫購併公股行庫)現在也喊停,可說這十年多來,無論民併公或公公併,均一事無成。 政府去年拋出「公公併」議題後,各界雜音不斷。選舉前,財政部長張盛和公開表示,非泛公股的民股代表皆無意願,導致公公併進行不太順利,才確定今年無法拍案。 如今執政黨選後大敗,各界更認為,此政策要落實,恐遙遙無期。台大經濟系教授林向愷質疑:「政府迷信『大就是美』才想推動公公併,問題是合併後規模變大,績效也會提升嗎?」某位被點名參與公公併的金控高層也透露,內部評估公司的獲利狀況和經營績效,確實不認為參與公公併是加分。 事實上,財政部被質疑「玩假的」重大政策,並非只有公公併而已,許多政策都有前後不一的問題。執政黨選舉慘敗後,財政部對先前所推動政策的一切堅持,彷彿都變了調,最先做出退讓的,是證所稅「大戶條款」的十億元課稅門檻。 選前張盛和信誓旦旦表示,絕不調高十億元課稅門檻。但內閣總辭後,十二月四日立院審查大戶條款,財政部的報告卻指出,「尊重」立委將門檻上調至五十億元。 國民黨立委賴士葆當天也說,張盛和確定留任,財政部說帖內容其實就是「張盛和版本」,換言之,行政院、立法院對於大戶條款的門檻放寬至五十億元,已達共識。但財政部立場丕變,令市場和支持稅改的人士,皆措手不及。 房地合一稅恐夭折財長漏口風:不利就不推 另一項民眾期盼,卻可能荒腔走板的政策,是「房地合一」,意即將房屋及土地合併後的實價總額,扣除實際取得成本後,按實際獲利課徵所得稅。 今年來,張盛和多次強調,將在不修憲前提下,推動房地合一課稅。但內閣總辭後,張盛和未確定留任時,談到房地合一的答案卻是「若大家覺得不利就不要推」,引起輿論譁然,一度被解讀為房地合一半途夭折。 儘管張盛和十二月八日連任財政部長後,隨即赴立院報告「房地合一稅制之規畫情形」,初步規畫採取累進稅率分離課稅,稅率分成五%到四五%六級分;國民黨團卻認為稅率太高,揚言「封殺」,雙方尚未凝聚共識。 「(房地合一)不是不好,但不要搞成四不像。」房仲公會榮譽理事長李同榮指出,政府迫於選票壓力,選舉前讓房地合一草率成案,「今年四月才說(房地合一)暫不可行,七、八月各開一場座談會後,就擬出草案,」其目的並非推動改革,而是弭平民怨。 李同榮認為,從這次選舉結果來看,已顯示這招並不靈光,即便繼續推動,可預見也是送到立法院東修西改,修到殘缺不堪後,變成證所稅翻版。 財劃法沒共識五次審查,20個版本難整合 「馬英九從來就不在乎房地合一。」另一名不願具名的房仲業高層感嘆,從房地合一設定排富條款(一定金額以下免稅)來看,就足以證明政府只是「做半套」,該高層甚至預測:「國民黨八成會在總統大選前把草案送進立法院,但卡著不審查,拖到選舉結束。」一切僅止於虛晃一招。 還有一項先前財政部喊得震天價響,卻可能無疾而終的政策,就是攸關地方政府財源的「財政收支劃分法」。 中央政府根據財政收支劃分法,編列、發放預算給地方政府,但財劃法長期被詬病為過度偏重中央與直轄市,歷經兩屆立委、五次審查,目前仍有多達二十個版本,歧見難解,可見一斑。如今國民黨在地方選舉大敗,拿下多數縣市的民進黨宣示,將和執政縣市一起推動修正財劃法,「地方包圍中央」戰爭一觸即發。 台北商業大學會計財稅研究所教授黃耀輝表示,選前朝野已對財劃法沒共識,現在朝野不同黨派,「財劃法的爭議只會更大。」 【延伸閱讀】選後地方包圍中央,財劃法成新戰場!—財政部重大政策選後變化 ●證所稅「大戶條款」 原定計畫:一年進出台股逾10億元投資人須申報,或就超過10億元部分做申報 選後變化:10億元門檻擬放寬至50億元 影響:被課稅的大戶人數估從1,000人減少至約44人(可能淪為「有稅目、無稅收」) ●公公併 原定計畫:兩家公股行庫合併成一家,擴大規模並發揮綜效 選後變化:今年確定無法定案 影響:公股行庫維持現有的8家 ●房地合一 原定計畫:1.採分離累進課稅,稅率5%~45%2.自住一戶、一定金額以下免稅3.持有超過2年以上可減徵7成以上 選後變化:內閣總辭後,財長一度表示「不利就不要推」 影響:確定設計「排富條款」,可能仍課不到稅(有心人士可鑽漏洞) ●財劃法 原定計畫:財政部版本包括所得稅提撥率由6%提高至10%,以擴大統籌分配款規模 選後變化:民進黨要求修正,但尚未提具體方案 影響:財政部修法機率低,地方難改善僧多粥少的窘境 整理:張舒婷 | ||||
肯亞案引發「詐欺輕判」的討論,當各界聚焦提高刑度與法院量刑之際, 攸關定罪與量刑的第一線蒐證工作,卻因法規及台灣外交處境受到極大限制。 要反制台灣詐「遍」全球、成為國際間不受歡迎國家,政府還有哪幾件事必須立即行動? 台灣的詐騙集團,從台灣騙到國際,詐遍全球的惡名昭彰,重創台灣國際形象,在肯亞涉嫌詐欺的台灣人遭中國強勢擄人,傳出是因為中國不滿台灣總是輕判詐欺犯之後,台灣對這類國際詐欺犯的量刑是否過輕,導致犯罪猖獗,引發討論。 日本祭重罰! 20年徒刑、賠償逾一億日圓單就刑責來看,相較於中國、韓國最高可判無期徒刑,或是日本與德國最高十年有期徒刑,台灣詐欺罪最高刑期五年、電信詐欺最重本刑七年,相對較輕。 以日本為例,二○一○年三月,東京地方法院曾重判詐騙集團首腦戶田雅樹二十年徒刑。戶田和他的手下在○六到○七年間,佯裝被害者家人,用電話或郵件對被害人謊稱:「我出車禍了,如果被公司知道會被開除,所以先給我修車的錢」、或「我用公司電腦做自己的事,結果中毒了」,共向三十九人騙了一.四六億日圓(約合新台幣四千三百萬元)。 法官認定這是大規模而且連續性的組織犯罪,且部分被害者因受害被家人指責,而導致家庭失和,也有人因此不再相信別人,影響甚鉅;而且這種匯款等詐騙案頻傳,已形成社會問題,為防止這類犯罪,須嚴厲處罰。因此依「詐欺罪」和「違反組織犯罪處罰法」等,判處二十年徒刑,並且要支付約一.一二億日圓賠償。 回頭看台灣對詐欺犯的處置,肯亞案發生幾天後,在馬來西亞犯下電信詐欺案的二十名台灣嫌犯,在中方同意下遣送回台,卻未循「人卷合一」的慣例,只移交人、未給卷證,導致台嫌下機後,在欠缺罪證的情況下,台灣檢警只能放人,陷入中國設下「縱放嫌犯」的圈套,給了中國大作文章的空間,台灣更是輿論譁然。 「台嫌遣陸」的爭議,早在一○年就曾上演,當時,菲律賓抓到二十四名跨國電信詐騙嫌犯,隔年,其中十四名台灣人被菲律賓遣送中國,引發極大爭議。 經兩岸協商,後續由中國完成偵訊,隔年將資料和十四名台嫌送回台灣審判。然而,判刑最重的犯嫌甚至是三十九罪(犯案三十九起,一罪一罰)合計,但由於每一罪刑期都不超過六個月,可易科罰金。 台灣多輕判! 易科罰金「連包機都不夠」一一年六月也是一樣,檢警在與中國、柬埔寨、印尼、泰國、馬來西亞聯手掃蕩詐騙集團,查獲台籍成員四百多人,台灣首度包下班機,先後押返在柬埔寨、印尼共兩百餘人,宛如台灣版的「空中監獄」。返台後,檢察官共聲押一六七人,創國內單一案件羈押人數最多紀錄。 然而,這批詐騙集團成員,經台中地院審理後,只判其中三名嫌犯十個月到一年半刑期,易科罰金僅兩萬到六萬元不等,警察大學前教授葉毓蘭直言,「連包機的錢都不夠。」來自各合作國家的壓力,加上台灣民眾對詐騙深惡痛絕,促成法務部修法,一四年立法院通過《刑法》第三三九條之四「加重詐欺罪」,就「冒用政府機關或公務員名義」、「集團性詐欺犯罪」與「利用電腦網路等傳播工具犯罪」三種形態,訂定獨立處罰,最高可處七年。 近日,肯亞案後,行政院院長張善政也指示法務部研議修正《刑法》,加重詐欺罪刑責。 但是,台大法律系教授陳志龍直指,「加重刑度也沒用,除非能抓到主謀。」他解釋,詐欺罪並不算輕,量刑較輕的原因在於能抓到的都是前端車手,只負責詐騙過程中很小的動作,「雖然用《刑法》三十一條,以正犯論,但法官不可能判很重,因為真的不是主謀。」除了提高刑度的修法方向,時代力量立委洪慈庸則打算提案刪除《刑法》第七條「其最輕本刑為三年以上有期徒刑者」之限制。按現狀,台灣人在國外犯罪後遣送回台,只有犯最輕本刑三年以上有期徒刑者,才能依《刑法》追訴。洪慈庸提案修正為「除非犯罪地法律不罰者,我國國民在海外犯罪,我國皆可主張管轄權。」民進黨立委李俊俋擬提案修正《組織犯罪防制條例》,將詐術、強暴、脅迫及恐嚇為手段,且具有持續性的組織,列為「組織犯罪」,主謀可處三年以上、十年以下有期徒刑,併科一億元以下罰金。 提高刑罰,應是目前可考量的方向,或也可參考日本的作法,同時對組織犯罪,加重一.五倍的求刑,更可收遏止之效。 當各界關注修正刑責相關法條,警方偵辦時常被其他法規掣肘,以致蒐證不易。刑事局偵七大隊長黃建榮就感嘆《通訊保障及監察法》是查緝電信流的一大難題,「詐騙集團轉換機房的速度很快,因為《通保法》的關係,我們要送公文才能抓電信來源,每每跑完申請程序,機房卻早已轉移。」他呼籲:「要打擊詐騙犯罪,警方調查的權限是否能再大一點?」 搜證大不易 修法、協商並進 才能打擊犯罪台中市刑大警員黃信修也感慨,台灣電信業者承租「第二類電信」(未架設實體線路固網或無線基地台,而是向第一類電信業者承租固網或無線基地台,來經營電話或網路業務)採登記許可制,無須審核,常淪為不法集團的詐騙工具,NCC(國家通訊傳播委員會)應該健全相關法規。 此外,「證據勾稽」才是定罪關鍵,目前詐欺案受害者主要在中國,黃信修說,「台灣舉證要求相對嚴謹,若沒有被害人筆錄,就沒辦法證明騙多少人、騙多久,頂多判一罪,若有五份筆錄,依據『一罪一罰』,會完全不一樣。 」如何協商中國配合,提供被害人筆錄,也是政府應努力的方向。 中、台聯手在第三國設置機房,向兩岸人民進行電信詐騙,誰來追訴與審判,是國際法、管轄權,更是外交與政治問題。具查緝實務的警界人士認為,台灣應加速與他國簽訂「司法互助協定」,如此一來,台灣在國際進行查緝逮捕電信詐騙過程,才能委託他國司法機關協助訊問,以及文書送達或證物之移交,乃至於協助搜索、扣押等才能順利進行。 此外,台灣若重返國際刑警組織,可符合國際聯手打擊跨境犯罪的共同利益,三月中旬,美國總統歐巴馬也已正式簽署,支持我國以觀察員身分參與國際刑警組織。 「國際刑警組織的會員國,可在第一時間查詢全球刑警通訊系統,掌握重要情資。」黃文志指出,該系統提供罪犯情資、線上指紋與DNA比對,我國目前無權使用,形同被排除在國際打擊犯罪網絡之外。「台灣須從東京方面取得二手情報,不夠即時。」黃文志的遺憾,也凸顯中國阻撓台灣加入國際刑警組織的荒謬。 人多、好騙又同樣說華語的中國,已是兩岸詐騙集團橫行的重災區,要如何止災,同時考驗台灣新政府與中國方面的智慧。 撰文 / 陳柏樺、陳亭均 | ||||