搞懂世界各國的資安防護安全標準
▲資安問題持續發酵,越來越多政府單位宣布禁用中國品牌通訊產品。(圖/記者劉士成攝)

資安問題持續發酵,除了工研院率先宣布在內部禁止它們認為有資安疑慮的中國網通產品連內部網路外,台南市政府也對禁用華為相關產品開出第一槍。當政府正準備於三月公布開始禁用中國電信設備清單之際,前行政院長張善政則是批評,政府的資安政策紊亂,而工研院等單位禁用華為手機更是「完全抓錯方向」,並強調手機要被植入惡意後門的管道是來自 App 軟體,而不是硬體。

但是對此成功大學電機系教授李忠憲則是於 26 日在臉書發文表示,App 會產生資安的風險,手機上的硬體和軟體也會產生資安的風險,更何況即使你有一個嚴格檢測App安全的標準(其實並沒有),手機上的 App 可更新,認證只能確保最初版本沒資安漏洞,若 App 更新出問題,通過認證手機也可能產生資安漏洞,反而令人失去警覺心。

李忠憲另外又發文表示,許多朋友問了我很多的問題,有些可能很有道理,有些是不了解科技的現狀。很抱歉我沒有辦法一一的回答,世界上沒有絕對的資訊安全,地圖炮的方式不是資訊安全的做法。資訊安全本來就是一件資源配置的事情,其中最重要的事要做風險評估,列出最高風險的部分往下做,當然有些人認為對台灣而言,全世界最大的風險國家是「美國」,所以認為應該要把資訊安全的資源往這個部分配置,但是我認為不是,也相信台灣大部分的人都認為不是。我真的以為自己知道的沒有很多,自稱「專家小小」還有點過分,寫出來的文章也都是科普的性質,沒有自信能夠呼籲什麼事情,只是希望給大家一些基本判斷的基礎。

▲李忠憲於臉書大談資安問題,但又客氣地自認為「專家小小」。(圖/翻攝於李忠憲臉書)

資安問題涉及的範圍很廣泛,確實無論是硬體或軟體,都需要有一定個規範與限制,但記者認為人為的規範與遵循,可說是最重的第一道主動防護。既然太過於空洞的討論或猜想無助於資安防護,不如我們就來了解一下關於資安的規範有哪些。

ISO 27001 標準係由國際標準化組織(ISO)於2005年10月制定之「資訊安全管理系統」之驗證標準,我國於2006年6月轉訂為國家標準 CNS 27001,可應用於組織內部,或為驗證、契約之目的,也著重在 ISMS 能符合 CIAL 之有效性;其中 C 指機密性、I 指完整性、A 指可用性,L 指適法性。

而 ISO 27002 可作為組織建立、維持及改善其ISMS的指導綱要及一般原則,特別是發展組織的安全標準與有效的安全管理實務,較 ISO 27001 更為廣泛。ISO 27002可作為超越ISO 27001要求,追求績效的持續改進之一項指引,不可作為驗證或契約之目的;而 HTC 最近表示他們非常重視及努力達到台灣以及世界各國的安全標準,就包含了 ISO 27001。

▲經濟部標準檢驗局所公開的各類管理系統認可登錄標誌。(圖/翻攝於經濟部標準檢驗局ISO 27001驗證說明會簡報檔)

HTC 表示他們也達到了 BS 10012;BS 10012 PIMS 是由英國標準協會基於 OECD、APEC 及資料保護法對於個人資訊管理制定而來。BS 10012 與其他國際標準一致,定義了個人資訊管理系統的要求。

▲HTC 24日宣布 HTC Desire 12s 新色綻放紅正式開賣,並滿足各國資安規範。(圖/HTC提供)

BS 10012 不只是針對 ICT 資通訊技術的標準要求,更多的是從法律面、管理面與流程面對於個人資訊的管理,能夠在符合國內個人資料保護法及組織所應遵循產業之最佳實務要求下,進行保障組織所持有之個人資訊。

而歐洲最嚴的個資法 GDPR,則是正式於 2018 年 5 月 25 日上路實施;GDPR 是在歐盟法律中對所有歐盟個人關於數據保護和隱私的規範,涉及了歐洲境外的個人資料出口。根據 Deloitte 今年 2 月最新調查,就連歐盟國家的企業也只有 15% 完全符合 GDPR 規範,其他國家當然在比例上更低,而台灣則是不在歐盟允許的跨境傳輸名單中。

GDPR 的條例包含處理個人數據的業務流程必須在設計和默認情況下構建數據保護,這意味著個人數據必須使用假名或完全匿名進行存儲,並且默認使用盡可能最高的隱私設置,以避免公開數據未經明確同意,並且不能用於識別沒有單獨存儲附加訊息的主題。任何個人的數據除非在法規規定的合法基礎上完成,否則數據控制者或處理者已經從數據所有者那裡獲得明確的選擇同意,而數據所有者有權隨時撤銷此權限。

其實再多規範都會有其漏洞的,通訊設備到底會不會危害國家安全,這議題以往相關專家都心照不宣,各國設備生產者當然有可能想藉由產品或軟體來竊取敵對或有利害關係的國家資訊,選擇設備與軟體的品牌與國別,其問題點可能回歸信任這兩個字,再不然就是甘願冒其風險。

搞懂世界各國的資安防護安全標準
▲消費著的資安層級疑慮是和國家單位不一樣的,圖為華為最近熱賣的Mate20 Pro 萊卡技術三鏡頭手機。(圖/記者劉士成攝 2019.01.25)

舉例來說畢竟目前還沒有實際證據證明華為手機有資安風險,若消費者覺得這廠牌手機好用,自然選擇信任來購買使用。而 HTC 身為台灣品牌,最近又宣傳有滿足各國資安規範,就更能讓民眾安心選購,但對於消費者而言,產品好用比較重要,而對國家政府而言,資安的防護則是勝過一切,產品再難用但若資安防護高也得列為優先考量。

至於蘋果手機,支持該品牌的中國使用者,當然就是以信任這個原則來繼續選購,記者觀察在中國一、二級城市,蘋果手機著佔有率相當高,不過中國民眾並不會熱衷於每年更換 iPhone 手機,而 HUAWEI、OPPO,小米與 VIVO ,則是中國民眾較支持的品牌,也是不折不扣的中國品牌。

▲所有網通設備都有資安疑慮要去確認,圖為華碩 ROG Rapture GT-AC2900 電競路由器。(圖/記者劉士成攝 2019.01.25)

目前各國對於華為有疑慮的是其通訊設備有「後門」,各國目前的策略主要是封殺華為 5G 設備,而非手機產品,因此使用華為的手機民眾無須恐慌,而且目前也無實質的證據顯示華為通訊設備確實有後門。然而這樣個骨牌效應確實已經造成華為品牌的傷害,加上像是加拿大近日宣布將從華為改成諾基亞合作 5G 產品研發,英國電信商 Vodafone 也決定暫停在核心網路中使用華為設備,他們正在與各機構、政府與華為溝通,釐清情況。