谷歌宣布8月起不再信任中华电信核发的凭证,逾万个公私部门网站将受影响。但数发部却强调只能管理「政府」网站,且依职权难以针对事件启动调查,真是如此吗?
一场看不见的数位风暴,即将于8月1日登陆台湾。身处风暴中心的主管机关数发部,却未正视问题。
谷歌(Google)今年五月底宣布,自8月起,其Chrome浏览器将不再信任中华电信所签发的TLS网站凭证,国内约有一万个网站将受影响,许多网页可能沦为资安破口。
「网站凭证」的功能,是被用来确保网页的「身分正确」与「资料安全」。当你点进一个网站,伺服器会提供一个密件信封,让你把指令封装、寄出;随后伺服器也以相同方式回传资料,才能开始浏览网页内容。
网站凭证就是那个「密件信封」,因为写上正确收件地址,且信件加密封条,内容不会被偷看或窜改;一旦没有凭证,就像寄出一张「明信片」,资讯不只暴露于眾,还可能被路人篡改内容及地址。
因此,点进一个「没有凭证」的网站,使用者等于公开所有的个资、足迹,容易被骇客拦截或偽造资料,甚至让你误入偽冒的网站。
数发部「做半套」监管消极
只顾政府网站 民间风险未解
谷歌在全世界找了67家机构提供凭证,其中包括台湾的中华电信和台湾网路认证公司(TWCA)。这次出包的中华电信,在国内核发凭证网站约1万多个,其中政府机关占约8千个、民间企业占约2千个。
面对这场不信任风暴,主管网路资讯的数发部强调,针对政府委托中华电信申购的网站凭证,早在3月就启动「双凭证机制」,协助政府机关将凭证转换到台网公司,目前已超过9成完成更新;至于2千多个民间网站,不在数发部掌管范围,「属于中华电信与民间公司的商业行为。」
由于凭证效期为1年,中华电信正赶在8月被撤销前,提早协助民间企业客户转介或换发新凭证,以延续新一年时效。依照中华电信回覆本刊数字,今年7月31日前到期的企业客户,已逾6成完成转换或更新,而8月1日后到期的企业客户,也正加紧处理中,但未透露具体进度。
儘管数发部一再强调,已超前部署启动应变措施;但面对攸关全民资安的重大危机,数发部「只管政府、不理民间」的态度,仍引来专家质疑。
资安学者翻开《数位发展部组织法》指出,数发部职责是要协助「公、私部门」数位转型业务,且有权订定相关审验规范。这次事件,除了政府凭证受影响,民间公司也遇到有损权益的不合理状况,数发部理应督导、完善相关机制。
另名网路治理专家也点出,数发部确实是透过中华电信购买政府网站凭证,「但维运业务委外,并不代表法律与行政责任也委外。」他质疑,数发部3月就掌握状况,早有机会积极介入调查,避免事态愈演愈烈。
更多内容,请参阅最新一期《今周刊》(第1489期)
(图/今周刊提供)
文章来源:阅读全文
政府发1000元「数位客家币」全民可抽、7月登记!两类人不用抽就有…领取方式、资格、怎么用一次看
0050最新配息出炉!除息日、发息日一次看…存股小白一看怎么少了?施升辉:以为会有4元是天大误会
六旬夫妻退休金仅303万,却年年出国…多亏50岁做了这件事、60岁无债一身轻!幸福老后必备4帐户
#中华电信
#凭证
#谷歌
#受影响
#风暴
【1键掌握全球脉动】
立即订阅免费国际周报