最新消息與公告 
教學魔法師教學平台教育訓練
電腦教室F308建置工程NTUE行動學習APP
協助師培部落學童遠距伴讀計畫本校對外網路流量分析
本校個人電腦維修統計
電腦專欄
科技新聞全世界已發行晶片身分證,加上展開規畫的國家總共超過130個,除了遠在歐洲的比利時、德國、愛沙尼亞,鄰近臺灣的日本、香港也開始用晶片身分證。
臺灣原定今年發行,儘管後來延期,但主導晶片身分證政策的戶政司不只舉辦eID系列工作坊或研討會,近幾年也和負責身分證文件印刷作業的中央印製廠,陸續前往導入晶片身分證的國家考察。
其中有兩個eID發行頗有績效的國家,相當值得臺灣借鏡。一個是人口僅130萬人的波羅的海小國愛沙尼亞,晶片身分證普及率高達97%。而另一個歐洲工業 大國德國的晶片身分證則擁抱國際標準,相容國際民航組織(ICAO)、國際標準組織(ISO)提出的標準,讓國民eID也能通行全歐。
以法規強制為後盾,提高eID普及率
這兩個國家的eID政策之所以成功,都是以法規為後盾來提高普及率,以愛沙尼亞來說,愛沙尼亞警察和邊防警衛局首席專家Eliisa Sau表示,eID專法上路初期就要求強制執行,「藉由法律,要求每個愛沙尼亞公民都得持有晶片身分證」。她強調:「愛沙尼亞雖是小國家,但有個強而有力 的政府,如果政府要求人民這樣做,民眾就得遵守。」
愛沙尼亞第二個關鍵則是大量數位服務使用eID。Eliisa Sau解釋,在2000年時,愛沙尼亞就已經推出電子簽章法,也在2002年推出晶片身分證,但是,「一開始我們僅有法規,但是卻沒有具體的工具及服 務」,她表示,必須有相對應可存取的數位服務,「不然只是張普通的塑膠卡片。」
愛沙尼亞資訊系統管理局eID區域經理Margus Arm表示,甚至政策推動初期,因欠缺服務,只好開玩笑說,晶片身分證可以用來刮除窗戶上的冰霜。直到後來,愛沙尼亞意識到必須要有服務才能擴大eID的運用,開始積極強化公、私部門使用晶片身分證的動機。
Margus Arm表示,一方面,愛沙尼亞免費釋出eID軟體,不只民眾可以下載這些工具來簽署或加密數位文件,甚至將eID相關的程式碼公開至開源平臺 GitHub,降低私人企業將eID整合至自家系統或產品的門檻。再者,貫穿愛沙尼亞各數位服務的骨幹X-Road,已經串聯起所有的服務,使得eID與 數位化服務整合並不困難,Margus Arm表示,「單一服務也可以連結至其他系統的資料庫。」
目前愛沙尼亞國民可以透eID存取2,500項政府提供的數位服務,其中500項是公部門的數位服務。愛沙尼亞的eID除了可以在歐盟內境內作為旅行文件外,還可以用它履行部分的公民義務,如繳稅、投票,其中eID的75%的線上流量都來自金融服務存取。
而德國也走過類似的歷程。如同臺灣,德國規定國民得具有身分證,讓警察、執法機關進行身分驗證。而在2010年時,德國一舉換發成晶片身分證,起初,德國 國民對於晶片身分證亦不小的抗拒,質疑該卡能帶來的益處。就像愛沙尼亞一樣,德國在eID政策施行初期,政府提供的數位服務並不豐富,導致晶片身分證的使 用成效不如預期,雖然人手一張,但「將近60%的德國國民決定不啟動晶片身分證的功能,因為它並沒有實際用途。」德國聯邦印製廠資深副總裁Roland Heise表示。
直到今年6月,德國通過一部聯邦法律,預設晶片身分證功能必須啟動,Roland Heise表示,「這才改變整個遊戲規則。」不過,也不只靠法律強制就夠了,德國在eID推動7年之後,可用eID的數位服務發展也多有進步,從經商、居住遷徙、工作轉到繳稅無所不包。
不只公部門,私部門也要積極參與
除了健全法律框架外,愛沙尼亞、德國實施eID政策時,私部門的參與也同等重要。Margus Arm表示,最初愛沙尼亞政府的策略是讓公部門透過eID存取數位服務,而私部門必須建立自己的數位服務,並且透過eID進行認證,例如,銀行就跟政府表 示,希望利用晶片身分證作為服務憑證,也投資金錢協助愛沙尼亞政府建立數位憑證機制,「這是個雙贏策略」,如此一來,私人企業就不需要開發屬於自己的憑證 工具,直接利用國家發行的晶片身分證作為服務憑證,可以降低成本。
根據愛沙尼亞政府的計算,結合數位基礎骨幹X-Raod、晶片身分證及數位簽章功能,「每年節省的成本總共占2%的GDP,全國也省下約820年的紙本工作時間。」
然而方便性與安全性往往難以兼顧,特別是晶片身分證可以於存取許多敏感性的個人服務,想為推動晶片身分證政策的政府,在此不可不慎。Margus Arm表示,愛沙尼亞晶片身分證外觀,只註記了持卡人性別、性別、出生日期及紙本簽名,而數位簽章則儲存在晶片中。
「不過即使持有卡片,仍然得搭配該卡片PIN碼才能使用」,萬一晶片身分證遭竊、遺失,Eliisa Sau表示,市民可以直撥政府服務熱線,要求註銷卡片憑證,減少不法人士用該卡存取數位服務的機率。當市民完成卡片註銷程序後,系統後端的資料庫除了移除 該卡中憑證的效力,也會註記這張卡已經遭竊,「如果有人使用它試圖非法跨越國界,也會被發現。」
同樣狀況於德國,當卡片遺失時,民眾也必須通知當局,並要求註銷該晶片身分證的效力。Roland Heise解釋,系統也會註記該卡的憑證已經失效,如果有人試圖使用這張卡,「因為這張卡已經在註記在黑名單中,完全不可能被他人非法使用。」
德國加密晶片身分證的PKI金鑰長達4096位元,雖然現階段安全強度已經足夠,
但德國已經開始思考導入新技術加強晶片身分證安全,如區塊鏈技術。
——德國聯邦印製廠資深副總裁Roland Heise(攝影/洪政偉)
但德國已經開始思考導入新技術加強晶片身分證安全,如區塊鏈技術。
——德國聯邦印製廠資深副總裁Roland Heise(攝影/洪政偉)
PKI足夠安全,但安全水準得要與時俱進
而預防晶片身分證遭非法冒用,不只有消極的作為,無論是愛沙尼亞、德國也都使用公開金鑰基礎建設(PKI)加密晶片身分證。
如同臺灣政府把憑證授權機構(CA)的工作委外給中華電信,愛沙尼亞也採取同樣的政策,將此工作交給由愛沙尼亞境內最大的兩家銀行、電信商持有的公司, 「我們必須建立一套嚴謹的審核機制,確定這些機構足夠提供安全的憑證服務」,Margus Arm表示,在2002年愛沙尼亞國民開始持有晶片身分證時,當時金鑰長度是採用1024位元。不過技術進步至今,1024位元長度金鑰的安全度已經不 足,現在愛沙尼亞已經開始推動新標準,「現在PKI的金鑰長度有2048位元,按現在需求標準,它的安全度足夠,要破解也相當困難。即使現階段PKI已經 足夠保護晶片身分證的各類應用情境,愛沙尼亞也沒有停下腳步,仍持續尋找新技術確保該國國民的隱私安全,現在愛沙尼亞嘗試橢圓曲線加密演算法 (Elliptic curve cryptography),「我們認為是一個更加安全的加密機制。」Margus Arm表示。
Roland Heise亦表示:「現在PKI足夠安全,但得持續增進它的強度,」目前德國用於加密晶片身分證的PKI金鑰長度達到4096位元,「但沒有人會一直開 20年老車上路,時候到了就得換新車」,現階段該技術的安全強度足夠支援晶片身分證的應用,但德國政府也開始思考導入新技術的可能,例如區塊鏈技術等。
資訊系統、政策公開透明才能重獲人民信任
愛沙尼亞推動晶片身分證時,除了備齊法規、技術外,另外一個要點,就是採取公開、透明的方式來贏得民眾的信任。Margus Arm表示,愛沙尼亞政府將所有晶片身分證相關的系統都公開至GitHub,並且歡迎民眾去檢視這些程式碼,如果發現漏洞亦能隨時通報相關機構,要求修補 程式臭蟲,「這樣除了機制透明外,也是愛沙尼亞政府確保程式碼品質的方法。」
除了機制透明化,Eliisa Sau也提醒,政府必須建立透明的查核機制及系統。以愛沙尼亞而言,政府存取個資都會留下相關的Log紀錄,如果民眾不清楚政府存取私人資料的理由,可以 馬上提出申訴,「透過自動化統,減少人為介入這些作業的程度」,而該國的eID專法中,針對不同隱私程度的個人資料,亦有規範可公開、不公開的原則。
資訊安全 
商業電子郵件詐騙事件頻傳,國內近年已有多家企業受害,並造成鉅額損失,若是企業真的不幸遭遇,
刑事警察局國際刑警科表示,可至分局以上單位報案,向165反詐騙諮詢,並請銀行方面同步處理。
圖為科技研發科股長羅國良(左)、國際刑警科偵查第二隊隊長林岳賢(中)、國際刑警科偵查員郭蒨穎(右)。
(攝影/羅正漢)
刑事警察局國際刑警科表示,可至分局以上單位報案,向165反詐騙諮詢,並請銀行方面同步處理。
圖為科技研發科股長羅國良(左)、國際刑警科偵查第二隊隊長林岳賢(中)、國際刑警科偵查員郭蒨穎(右)。
(攝影/羅正漢)
從近年跨國商業電子郵件詐騙案來看,冒充老闆、通知變更匯款等手法,儼然成為一種利用人性弱點的熱門騙技,只要伺機竄改、入侵電子郵件,就能夠讓企業不疑有他,並主動匯款至詐騙用帳戶。
從大多數的BEC詐騙過程來看,不少都是駭客假冒海外以要求企業付款,或假冒公司高層的郵件帳號,要求掌管財物的收信者,匯款到詐騙用帳戶。
當款項匯出國外後,卻發現供應商、執行長說不是他本人所寄的!報案後,才知道被騙。因為大部分受害者在受害過程中,並未能夠意識到發生什麼事。
攔阻遭詐騙款項的關鍵,在於企業能否及早處理
遭受商業電子郵件詐騙,有辦法追回款項嗎?許多企業都想知道答案。
內政部警政署刑事警察局國際刑警科偵查第二隊隊長林岳賢表示,他們過去已經受理不少企業報案,也提醒民眾,並不是完全沒有追回款項的機會。通常受理報案時,執法機關可協助迅速追蹤匯款流向,幫企業爭取時間,如果有管道的話,至少可以將錢先凍結下來。
雖然跨國犯罪偵查有其複雜性,但林岳賢指出,只要企業越早發現並報案,攔阻匯款的機會就越大。像是在今年6月,臺南一間傳產公司也遭遇電子郵件詐騙事件,並匯款至境外,在報案與緊急處理後,即成功攔阻匯款。
刑事警察局國際刑警科偵查員郭蒨穎也進一步說明,在這起事件中,該企業在匯出20多萬美元到美國後,幸好他們隔天就發現問題,並立即報案,國際刑警科便根 據處理經驗建議該公司,首先趕快去銀行辦理退匯,同時,透過駐美警察聯絡官協助與當地銀行法務聯繫,並將案發相關資料同步發送。最終,匯入銀行方拒絕接受 匯款,讓款項退回原本的匯出帳戶。
清查影響範圍,避免企業繼續處於駭客所能掌握的範圍之中
若是企業真的不幸遭遇電子郵件詐騙事件,林岳賢表示,企業可就近前往一般派出所報案,或洽詢165反詐騙諮詢中心,這類跨國詐騙案件,都會轉到國際刑警科處理,過去也有企業是直接到刑事警察局報案。
但他也提醒,不少受理案件都是事發一兩個月,才來報案,時間拖太久。例如,有不少案件一開始是懷疑有內鬼,或是想告對方廠商詐騙,兩邊爭執完才來報案。要知道,時間拖得越長,一旦匯出款項被提領,或再次被轉匯出去,警方偵辦追回機率幾乎是零。
另一方面,企業IT單位該做的就是要清查影響範圍,或是透過執法單位與資安專家進一步協助,避免企業持續暴露在駭客監控之下。
根據不少資安公司統計,一般APT攻擊,臺灣企業平均遭駭客入侵潛伏的時間長達數百天,而BEC詐騙也有同樣的跡象,從事前鎖定目標,到潛伏觀察,再到關鍵時刻假冒客戶變更匯款通知,已經滲透一段時間。因此,清查影響範圍並做出調整,也是必要的動作。
攔阻遭BEC詐騙匯款,從執法單位、銀行等雙重管道下手
國際刑警科表示,這類電子郵件詐騙案件屬跨國網路詐騙,在偵辦有兩個面向,但也各有難處。像是在網路追查上,由於駭客端使用網路跳板、虛擬IP、一次性電子信箱等因素,追查曠日廢時、難收實效。
在金流追查上,包含人頭帳戶、網路轉匯及多方貿易等狀況,還有各國法令不一的問題。如從金流動向來看又可分為兩大類,一類是金流匯至境內,另一類則是匯至境外。
前者通常是,與臺灣廠商合作的國外廠商被騙,由於電子郵件詐欺案的收款地區在臺灣,因此國內偵辦時比較容易施力;後者則大多是臺灣廠商被騙,金流匯往境 外,多需當地國家法院裁定,始能凍結帳戶,且若款項已經再轉匯至其他帳戶,追查難度增加,又或涉及多方貿易,亦難舉證受款帳戶涉案情形。
不過,也有例外,我們得知有企業自行討回詐騙款項的經驗,受害企業是向當地銀行或當地金管會申訴才追回。
林岳賢表示,在他們協助的經驗中,假設這筆錢匯至美國,而報案公司在當地有分公司,他們建議企業透過在地關係來處理,因為此類案件要搶時間,所以會先建議向當局先報案,如此一來,反而比從臺灣進行的程序要快。
郭蒨穎也補充,最好方式是透過執法單位與銀行,採同步進行方式處理。可能有些廠商認為是自行向銀行申請退匯成功,誤以為警方沒有處理,事實上,刑事警察局一定會透過管道,聯繫當地警方,他們也將協助與受款銀行洽詢。
然而,企業的需求不僅止於此,也許還會希望偵辦進度更透明,或是更容易查詢處理狀況,因此,我們也期待,接下來,警民之間能有更密切的合作。
另外,刑事警察局科技研發科股長羅國良提到,過去有企業遭遇BEC詐騙,而且是與銀行、以及資安公司合作、成功通報攔阻的例子。不論如何,面對防不勝防的 跨國電郵詐騙,執法單位、金融與資安業者,都在打擊網路犯罪扮演各自不同的角色,企業與民眾也期盼能發會更好的效果。當然企業也要積極預防,畢竟是公司本 身疏於資安保護及交易匯款確認,事後搶救也只是權宜之計,應設法避免遭詐騙才是根本之道。
計中資訊電
腦教室
校園無線網路電子郵件
網頁空間資
訊相關規範 電 話:02-6639-6688 分機83461
地 址:臺北市和平東路2段134號
計算機與網路中心 版權所有