從上海公安資料庫遭駭竊看集中式數位監控的風險
2022.07.29
瀏覽數
9077
壹、新聞重點
2022年6月30日驚傳駭客在網路犯罪論壇兜售竊自上海公安存於阿里巴巴旗下阿里雲的資料,要價10枚比特幣(約新台幣600萬元)出售上海公安系統數據庫,聲稱其內包括10億中國公民的戶籍等個資及數十億筆警方紀錄。目前發布的75萬筆紀錄中,內容涉及個人姓名、身分證號碼、電話號碼、生日和出生地,以及向警方報案的詳細摘要。[1] 阿里巴巴高層遭當局約談,如果此案屬實,這將是有史以來規模最大的個資外洩事件之一,也是中國大陸已知最大規模的駭客攻擊事件。這顯現出中共在透過全國數位監控蒐集大量數據時,在資料保護上面臨了困境。[2]有鑑於此,實有必要探討集中式數位監控的風險與管控。
貳、安全意涵
一、中共藉「帶路倡議」積極輸出數位監控
中共數位監控延續過去對於街道鄰里監視及文字影音審查,主要著力於街頭攝影機、網路蒐羅之影音文字資料之審視,雖然看似天羅密布,但若僅依靠人力,實難以負荷即時大量的數位資料,因而可能造成疏漏或緩不濟急。因此,中共藉由長期資料與經驗的積累,加上機器學習與深度學習輔助,演算法已經精進到可以在影音分辨、內容關鍵字把關達到相當精準度。[3]
近年來,中共的數位監控進一步往源頭阻絕,現今將「情緒分析與「自然語言分析」,應用於搜尋引擎與內容分析之反諷、諧音、近義字詞,鎖定疑犯進行長期監控後,甚至對未發表作品進行封阻。[4] 中共也透過境內外使用者與觀察團體彼此間的經驗分享,散布言論緊縮風向,進一步製造寒蟬與自我審查效應。
中共視其數位監控為可輸出分享的「中國模式治理」,藉由「帶路倡議」之「數位絲路」建設,將智慧城市、華為5G、智慧港航等數位基礎建設布建到帶路沿線國家,除能藉設置後門竊取當地國資料、進而挹注自身人工智慧發展之外,還能吸引帶路沿線威權專制國家引進中共數位監控技術、服務,[5] 企圖在美國藉「乾淨網路」與「全球基礎建設與投資夥伴」對中國大陸遂行堅壁清野之際,[6] 達到破除美國的圍堵效應,並鞏固其數位威權陣營之領導地位。
二、中共以生物辨識推動網路實名登錄並擴大數位監控
中共情蒐慣以海撈手法,藉分散式、複式監控管道,譬如街道管理以切割區塊、多單位進行監控。進入網路時代後,中共依然沿用過去模式,分區多重蒐集大量資料,各地亦均有網路輿情監控之人力配置。當網路與雲端資料的即時審查明顯超越人工負荷之後,中共採用演算法,運用過去重點人士與熱點議題之監控模式,嚴密審視帶風向網紅或特定人士網路言行。
中共更進一步結合社會信用制度,將國家數位監控予以制度化,落實到規範個人實體與虛擬空間行為。這樣的監控模式得力於「網路實名制」,但「上有政策、下有對策」,偽造或假扮他人身分以接取使用網路,早已是數位監控下的日常。中共因而祭出無法假造的生物辨識手段,先在福建、廣東等地試點,冀以未來落實網路實名登錄,[7] 並得以與前述數位監控之「雪亮工程」、「天網系統」勾稽構聯,進一步加大數位監控的力道。然而如此一來,也將相對帶來儲存保護大量敏感生物辨識資料的風險,生物辨識資料因其難以變更特性,一旦遭駭侵外洩資料,將相對造成更大更持久傷害。
參、趨勢研判
一、敏感個資集中存放數位資料庫將成駭客眼中高價值目標
前揭上海公安資料庫海量個資遭駭侵外洩,主要是政府交由私部門雲端保管維運,但因其資安防漏洞更新疏失與治理監管不力,造成惡意駭客有機可乘。[8] 駭客之所以瞄準政府雲,主要也是在其資料涵蓋大眾個資,實為不折不扣的高價值標的。如果資料蒐集範圍擴及生物辨識個資,資料之機敏等級更高,按理應至少具備相當於醫療資訊資安保護,並予以分散式隔離。然中共慣於集中儲放機敏資料,即使各地政府持有地方民眾機敏個資,以其眾多人口數量言,長久累積下來,資料量將相當龐大,遭駭侵竊用之風險與潛在傷害也會更大。
二、中共積極駭侵美國生物資料庫以利未來對美「潑髒水」
中共本身蒐集儲存民眾生物資料的同時,也積極駭侵美歐生物醫療研究機構,蒐集各機構資料庫之生物資料。[9] 由於生物資料被視為戰略安全物資,中共此舉被視為具敵意安全威脅。推測其背後用意,可能具有「滲透竄改美歐生藥資料庫資料」、「栽贓渲染美國才是生物戰之罪魁禍首」、「蒐集美國造成新冠疫情蔓延之所謂證據」,以利將來配合「大外宣」與「認知戰」之調性,連結美國與疫情,持續「潑髒水」。我國生技產業在研發疫苗之際,也應做好資安防護,除保護營業秘密,也嚴防惡意境外勢力滲透竊取或作假汙衊,避免成為其疫苗「認知戰」炒作的題材。
[1]〈中國恐遭史上最大網攻 駭客稱兜售10億人個資及警方紀錄〉,《中央社》,2022年7月5日,https://www.cna.com.tw/news/acn/202207050167.aspx。
[2]邱倢芯,〈中國 10 億個資被竊,當局約談阿里巴巴高層〉,《科技新報》,2022年7月15日,https://technews.tw/2022/07/15/alibaba-cloud/。
[3]Miles Kenyon, “WeChat Surveillance Explained,” Citizen Lab, May 7, 2020, https://citizenlab.ca/2020/05/wechat-surveillance-explained/.
[4]Zeyi Yang, “A Million-word Novel Got Censored before It Was Even Shared. Now Chinese Users Want Answers,” MIT Technology Review, July 15, 2022, https://tnsr.org/2022/07/15/1056042/chinese-novel-censored-before-shared/.
[5]例如數位絲路在中亞布局考量,可參見:Nargis Kassenova and Brendan Duprey, “Digital Silk Road in Central Asia: Present and Future,” Davis Center at Harvard University, June 2021, https://daviscenter.fas.harvard.edu/sites/default/files/files/2021。
[6]美國運用其於G7倡議之「全球基礎建設與投資夥伴」,在拜登總統2022年7月與沙烏地阿拉伯簽訂網路安全協議,後者將出資投入研發與部署美國主導之Open RAN 5G,拜登總統明指這是針對中國大陸的布局。參見:“Remarks by President Biden on His Meetings in Saudi Arabia,” The White House, July 15, 2022, https://www.whitehouse.gov/briefing-room/speeches-remarks/2022/07/15/remarks-by-president-biden-on-his-meetings-in-saudi-arabia/。
[7]曾怡碩,〈中共推行生物特徵辨識之網路身分認證〉,《國防安全雙週報》,第18期,2020年12月18日,https://indsr.org.tw/respublicationcon?uid=12&resid=793&pid=1805&typeid=3。
[8]Laura Dobberstein, “How Data on a Billion People May Have Leaked from Chinese Police Dashboard,” The Register, July 10, 2022, https://reurl.cc/vWndM1.
[9]Kathleen M. Vogel and Sonia Ben Ouagrham-Gormley, “China’s Biomedical Data Hacking Threat: Applying Big Data Isn’t as Easy as It Seems,” Texas National Security Review, Summer 2022, https://tnsr.org/2022/04/chinas-biomedical-data-hacking-threat-applying-big-data-isnt-as-easy-as-it-seems/.