小心！駭客正在誘騙你的機密資料

－真實案例改編

和風

  現代化的保防觀念，就是加強機關自身的「免疫能力」，也只有機關內部同仁都有健全的保防意識，才能避免敵人趁虛而入。

    志杰是某中央部會的業務承辦人，高考及格擔任公職6、7年以來，以其優異的外語能力，加上思路清晰、動作敏捷，深獲主管嘉許，司裏幾個專案列管的大案子，都是由他負責承辦，尤其是他最近提出的研究報告，言簡意賅、分析透徹，完全掌握問題的核心，呈給上級長官無不稱讚，儼然該部明日之星。如果硬要從雞蛋裏挑骨頭，志杰在公文處理方面或許還不夠細心，有時候數字少了1個零，有時候誤植同音錯別字，直屬長官陳科長仍需在他的公文品質上把關。

    「520」政府交接後，該部會新任部長到職，隨即指示司長對於新政府施政方針的幾大案件必須專案列管，每週向政務次長報告進度，如執行上有滯礙難行之處，跨部會協調由政務次長負責聯繫。司長回到辦公室後，立即找來陳科長與志杰，轉達了上級的工作指示，希望同仁們全力以赴，圓滿完成這次任務。

    時間過得很快，志杰接專案工作已1個多月，期間開了2次跨部會協調會議，還有1次會議是由院長主持，專案進行的十分順利，部長、次長對於部內同仁的表現非常滿意，認為該部今年列管案件可以順利達標。7月初，志杰一如往常早上7點40分就到辦公室，打開電腦看一下當天的行事曆，接著收電子郵件，竟然有一封政務次長早上5點50分寄來的「高重要性」電子郵件，志杰嚇了一跳，因為自從次長到任以來，除了開會時的接觸，這是第一次直接下指示。志杰仔細看了e-mail內容，「次長」指示讓他在當日下班前將列管專案的會議資料、與會人員名單、具體數據及預擬講稿，先以電子郵件傳給次長過目。志杰雖然不是承辦公文新手，但接到「次長」重要指示，時間又這麼急迫，仍感到有些壓力。8點整陳科長到了辦公室，志杰立刻向他報告「次長」的幾項指示，科長請志杰將「次長」寄的e-mail列印出來，以便大家一齊分工，並準備向司長報告。

    為了準時完成工作，志杰中午只喝了1杯咖啡，配上2片吐司，不敢出去用餐。下午4點10分，志杰將「次長」要的資料先拿給陳科長過目，科長仔細校對了會議資料、與會人員名單及每一項數據，並發現了幾處錯誤，請志杰立即修正，志杰手腳也很快，不到幾分鐘，整份資料已經完成，兩人帶著資料一同到了司長辦公室。司長說，今天次長好像很忙，一直沒見到面，接著又與他們兩人討論資料內容及專案未來準備的方向。下午5點整，陳科長為求慎重起見，拿起桌上電話，直撥次長室吳秘書，請她向次長報告，相關「書面資料」都已備妥，並請示是否附上「電子檔」。吳秘書告訴陳科長，次長一整天都在花蓮、台東視察業務，還沒進辦公室，也未交待這件事，她稍後會問清楚，再回科長電話。陳科長掛上電話後覺得有點「怪怪的」，但說不出什麼地方怪。接著拿出早上志杰列印的「次長」e-mail內容，仔細檢查寄件時間、寄件人、收件人、交辦事項等，似乎沒有什麼異常。與此同時，次長室吳秘書來電，告訴陳科長，剛才打電話問過次長，今天早上沒有交辦任何事，「書面資料」密封後交給吳秘書，電子檔先不要寄，等他今晚回辦公室再處理。晚上6點多，整幢聯合辦公大樓燈火通明，次長剛進辦公室，立刻請吳秘書通知司長、陳科長、志杰等專案小組成員，10分鐘後到三樓小會議室開會。

    次長一進會議室就跟大家說，志杰準備的資料他看過了，除了幾個數據還要再確認一下，其餘都十分詳盡。但問題是他今早並未交待準備這些資料，專案列管的案件有其機敏性，在政策正式形成之前，必須遵守工作紀律，嚴格保密，相關資料若是不慎外洩，遭有心人士利用，勢將引起國內不小的風暴。這時候看到陳科長緩緩舉起手來，次長請他表示意見，陳科長說，今天早上8點一進辦公室志杰就跟他說了準備這些資料的事，由於是「次長」要的，指示的內容與上次會議決議事項息息相關，時間又很急迫，他就立刻向司長報告並且與志杰一起著手準備，下午5點左右在與吳秘書聯絡過後，才覺得好像有一點「怪怪的」，因為次長520到任以來，從未跳過司長直接交辦任何事情，況且這個專案的機敏性大家都知道，並不適合以電子郵件傳送，等他把志杰列印的「次長」e-mail拿出來仔細檢查，才嚇然發現寄件人的e-mail address有問題，次長的電子郵件地址是英文字母小寫的「l」，但寄件人的電子郵件地址是阿拉伯數字「1」，其他幾乎都一樣，這才驚覺可能是被駭客入侵了。還好在志杰完成彙整工作前，他及時與次長室吳秘書聯繫，再次確認，才避免了機敏資料外洩。

    會議持續了近半個小時，次長在總結時說，專案列管的案子當然有其特殊性與重要性，部內近期為了配合新政府的施政作為，各主政司、處同仁都非常辛苦，經常為了完成上級交辦的任務加班到深夜，但是在工作忙碌之餘，千萬不能忘了資訊安全與保防意識。今天發生的「駭客」事件，正好可以當作案例提醒同仁，他會要求資訊室立刻向資安辦通報，並且協助釐清寄件人的背景及目的，更重要的是必須防範類似事件再次發生。

    志杰回到辦公室後久久不能自已，原來今天白忙了一整天，還差一點因自己一時大意造成機敏資料外洩，如果事情真的發生了，後果實在難以想像。陳科長發現志杰在會後一直呆坐在位子上，隨即起身到他桌旁。科長告訴志杰，剛才司長已經轉達了次長的指示，次長對於科裏承辦的專案業務非常肯定，尤其是志杰在簡報資料及英文翻譯所下的功夫，長官們都很清楚，希望他繼續加油，今天發生的事只是虛驚一場，我們只要提高警覺，更加謹慎細心就好，千萬不要因此而感到內咎。

    翌日適逢部務會議，次長趁機向與會人員說明了昨天發生的駭客事件，並且要求各級主管務必向所屬同仁轉達，科技進步日新月異，駭客行為無孔不入，保防工作不限於以往的「保密防諜」，現代化的保防觀念，就是加強機關自身的「免疫能力」，也只有機關內部同仁都有健全的保防意識，才能避免敵人趁虛而入。「提升保防意識，加強資訊安全」是一切業務的基礎，千萬不能因一時疏於注意，讓大家共同努力的成果功虧一簣。(轉載自清流月刊106年3月號)

我的安全保防心體驗

The Shepherd

去（105）年底，調查局接獲線報，調查一起陸人來臺觀光逾期停留案件，赫然發現該名陸人實際身分竟是已遭通緝多年之國人。經進一步追查得知，該名國人在我國涉及詐欺案件後，旋即潛逃出境藏匿於大陸地區，嗣後疑以金錢買通大陸地區某縣市公安局局長取得陸人身分，再以觀光名義順利通關入出臺灣。雖尚無發現該員有從事其他刑事不法情事，然而倘若該員是經中共刻意吸收再派遣回台工作之人員，勢必對我國家安全與社會安定造成影響。

我方自76年11月開放國人赴陸探親以來，迄今已近30年，雖然彼此在經貿、社會及文教等交流已然熱絡，然中共對我之敵意仍絲毫未減。尤其是新政府於去年520就任後，因蔡總統不再延續以「九二共識」為基礎之兩岸論述，即遭中共當局一再打壓，不僅終止兩岸官方聯繫管道，更陸續以減少陸客來臺、阻擾我參與ICAO等國際組織及促使聖多美普林西比與我斷交等一連串手段威脅我方，甚而在今（106）年1月，蔡總統出訪中美洲友邦期間，派遣其航空母艦遼寧艦穿越臺灣海峽繞臺進行挑釁，在在顯現中共干涉我國政之意圖。

雖然現階段國內對於兩岸關係的論述與發展有著兩極化的分歧，然維繫民主、自由與人權的價值，絕對是全民的共識。而前述國人假陸人身分入出境事件，凸顯中共極有可能以隱匿或變更身分方式，派員循觀光、探親、奔喪等管道入境來臺偵蒐我國安情資。因此，為保障得來不易的民主成果，不僅是政治人物或國安團隊的責任，更需仰賴全民合力構建綿密的國家安全網，以保障你我家園的安全。(轉載自清流月刊106年3月號)

從希拉蕊「電郵門案」談公務電子郵件使用規範

楊宗鑫

摘要：

美國總統大選結果揭曉，聲勢備受看好的希拉蕊，因欠缺機密保護意識，在「電郵門案」衝擊下，與總統大位擦身而過。

電郵門案（email-gate）始末

    電郵門案的緣由，可追溯到2012年發生的「班加西案」。利比亞強人格達費垮臺後，國家陷入內戰，美國駐利比亞大使館班加西據點遭暴民（一說是伊斯蘭恐怖組織）攻擊，時任國務卿的希拉蕊在接獲通報的第一時間，並未做出妥善處理，導致包括大使在內共4名駐外人員遇害（此事件在2016年被導演麥克貝改拍為電影「13小時：班加西的秘密士兵」）。事後國會眾議院以希拉蕊應變失當為由，要求調閱事發當下的電話通聯及電子郵件往來紀錄，並在調查時意外發現，自2009年希拉蕊擔任國務卿以來，即在住家內以個人電腦登入一個註冊為「hdr22@clintonemail.com」的電子信箱收發公務郵件，且信箱的啟用日，竟然就是歐巴馬總統任命她擔任國務卿的當天。

　　依據美國「聯邦檔案法」（Federal Records Act）規定，除非有緊急特殊狀況，如機關電腦故障、伺服器維修等，聯邦機關所屬公務員經手的信件可能涉及機密時，必須使用政府提供的電子郵件信箱，希拉蕊以私人信箱處理公務顯已違法，還可能涉及機密外洩，眾議院遂將此部分移請聯邦調查局處理。

    聯邦調查局在2013年介入調查，包括希拉蕊及與其有郵件往來的國務員職員都被列為對象，前後檢閱了近十萬封電子郵件，其中至少百餘封屬於機密文件，有2封甚至是絕對機密，但因尚無外洩之情，僅追究行政責任。原本外界以為事件到此告終，豈料在2016年總統選舉前10天，聯邦調查局在偵辦另一起案件時，意外發現電郵門案的新事證，乃重啟調查，雖趕在選前3天向外界宣布並未查獲具體違法事實，卻已對希拉蕊的選情造成極大衝擊。

    希拉蕊在整起案件調查中，始終以貪圖方便、一時疏忽為由，澄清自己絕非故意、也沒有犯意，然而國務院作為美國最高涉外機構，國務卿更是在總統之外最有實權者，實不應犯下這種錯誤。對此，希拉蕊也許還能藉口過去所服的公職都是民選或政治任命、對於公部門運作規定不熟悉為由，為自己的行為開脫，但其餘與之有信件往來的國務院職員，均長期服務於公部門，其中更不乏高階文官，反映出公務員對於機密保護的意識實在不足。

    為避免類似事件再度發生，美國國會在2014年制定「總統暨聯邦檔案法修正案」（Presidential and Federal Records Act Amendment of 2016），隨即獲得歐巴馬總統簽署，其中規定，如果聯邦公務員使用私人電子信箱收發公務郵件，必須將郵件副本寄到公務信箱，或是在20天內，將原本的信件內容轉到公務信箱。在此修正案下，各州也紛紛針對自身的機密保護相關辦法進行修正。

我國公務電子郵件使用規範

    在我國，關於公務電子信箱的使用規範，依據「行政院及所屬各機關資訊安全管理要點」第27點：「各機關訂定電子郵件使用規定，機密性資料及文件，不得以電子郵件或其他電子方式傳送。」授權各政府機關自行訂定，未制定者，則準用前述要點。

    參照各機關訂定之使用規範，重點可大致歸納如下：

（一）公務電子信箱的使用者：各機關普遍將使用者區分為「機關」及「個人」，前者包括機關本身及下轄各單位，如縣市政府及其下轄各局處；後者則指機關職員，部分機關亦提供如外包廠商、外聘人員等非機關職員提出申請。

（二）公務電子郵件的開啟與停用：機關使用者的信箱，有主動開啟者，也有視業務需求提出申請後被動開啟者；個人使用者的信箱，多數機關在員工到職後會主動提供，但如臺中市政府等少數機關，則是在員工提出申請後才開放。逾一定期間未登入者，將暫停使用權限，離職後則註銷之，但也有如臺南市政府教育局等少數機關提供退休人員永久使用。

（三）公務電子信箱的容量：各機關所提供的容量不一，以個人使用者而言，宜蘭縣政府提供每信箱500MB、每封郵件24MB，每封信件收件人以150人為限；高雄市政府提供個人使用者每信箱200MB，每封郵件20MB，每封信件收件人以60人為限。至於機關使用者，容量足够使用。

（四）公務電子信箱使用限制：常見的使用限制，包括禁止借予他人使用、盜用他人帳號、從事違法行為、寄發廣告郵件、於公共網域公布個人公務信箱等。

    由前述規範可知，在現行體制下，各級公務員有享用機關提供公務電子信箱的「權利」，卻沒有被要求處理公務時必須使用公務電子信箱的「義務」，加以受限於載體的侷限（僅能透過公務電腦連結，無法在辦公處所以外透過個人電腦、手機連結）、容量的不足（以GOOGLE提供的電子信箱為例，容量最高可達25GB，而1GB等於1024MG）、使用的不便（需定期更換密碼、遭停用後重啟程序繁瑣、介面不友善）等因素，造成使用公務信箱的意願普遍不高，寧可以網路業者提供的免費信箱處理公務，是機密保護策進的範疇。

    在美國發生憾事隨即亡羊補牢之際，我國雖尚未聽聞因使用非公務電子郵件而洩密的事件，但也應見賢思齊，針對現行規範的疏漏加以改善，以期將危機消弭於無形。(轉載自清流月刊106年1月號)