立即加入會員
取得專屬服務

讓駭客決定數位身份證的發行日吧!

讓駭客決定數位身份證的發行日吧!
台灣的數位身分證原定10月上路,但有上百位專家對政府資安提出各種疑慮。圖片來源:Shutterstock
2020-07-08
文・范疇
2398
內政部原定10月份上路的「數位身份證」(eID),因遭到國內上百位資安專家、達人之質疑,或許會延後。

但是,從政府對各界質疑的反應模式來看,還是在沿用老舊的官場思維行事,倘若相關部門和執行人士不能跳脫框框,功能包山包海的「數位身份證」,輕則曠日費時、補補貼貼、尾大不掉,重則帶來國際未曾見過的資安災難。

有沒有解決方案?當然有,而且是全球至今最可靠的方案,而且花很少錢,而且可從眾多良莠不齊的開發商和科研單位內自動淘汰不適任方。

這辦法極其簡單,而且我很奇怪政府主辦單位為何早先沒有採用這個辦法?那就是:讓全球的駭客來決定台灣的「數位身份證」什麼時間點上路。(延伸閱讀|數位身分證很安全?愛沙尼亞曾遭駭,德國反個資存手機

辦法如下:

1. 將內政部主張的16大數位服務功能,依資安風險分為三類:高風險(如護照簽證、公投連署、通信、不動產交易、稅務通關、貿易金融),中風險(年金、勞保、遺囑等),低風險(如交通監理、車籍、就學與教學、總總社福)。具體分類,可通過資安界意見調查完成。

2. 第一期:推出低風險功能樣證,徵求少量自願公民,如1,000人-10,000人,若需要也可集中地理範圍,實驗性使用3到6個月。事前,向全球駭客發出武林英雄帖,總獎金1百萬美元,全球駭客自由參加(含中國駭客),提交「抓蟲報告」(Bug Report),截止日以總獎金除以總蟲數,派發獎金。

3. 第二期:第一期被抓出的Bug自認為修復後,重複第一期,再來一次全球武林帖,只是這次樣證內加入中度風險的項目。

4. 第三期:重複第二期,但此次加入高風險項目。

5. 第四期:可全面換發經過全球駭客打臉過的數位身份證,但新證只含低風險項目。一年後,若未發生重大資安事故,再開通中風險項目,再一年後,才開放高風險項目。

6. 所有外包開發商的合約中,均加入「蟲子懲罰條款」,每被抓到一條蟲,扣款若干。

作者退休前,所創公司有20年的應用軟體系統開發經驗,雖然規模不大,但一向都採用類似上述的資安方案,前期只需要花整個項目的1到3%成本,但可將後期的風險及維護成本降至最低。

或有人懷疑這套辦法的可行性,讓我和你分享一個秘密:這套「去中心化、大家一起來抓蟲」的方法,微軟公司的比爾蓋茲是其中高手;當年微軟起死回生的「NT操作系統」,就是這樣開發出來的,情景比上述列出的還要冷酷,全程記錄在《Show Stopper》這本書上,亞馬遜書城還有的買,真誠建議所有軟體業者都讀讀此書。

內政部宣布推動「數位身份證」後,有意見認為應當先在立法院修法才算合憲,但坦白說這太為難立法委員了。也有意見認為應該將規格交給國際的eID規格制定方審核(如歐盟),但也坦白說,這太相信國際的技術官僚了。(延伸閱讀|這國家研究數位身分證資安20年,駭客只花1小時就破解?|城市冷知識#17

既然是超大型的數位項目,而且還是包含公投、金融功能的「數位身份證」,本來就應該遵循區塊鏈的核心精神——去中心化。

台灣的政府組織和文化,現在還彌留在「中心化」的陰影中。用「中心化組織」的決策和執行習慣,是做不好「去中心化」項目的,這就像用豬肉是煮不出雞湯的道理是一樣的。

中共當下有260部超級電腦,而台灣只有2部。若想用2部超級電腦之力和少量技術高手,就想來保障一張全功能互通的數位身份證背後的數據資安,er…er…er….

「數位身份證」的外包方即使是世界知名的軟體公司,坦白說,我也不相信,因為任何軟體公司,再強能力也有限,也都會留幾手供日後收費。國家的資安,只有交給全球的駭客來檢驗,我才會比較放心。例如前述建議的方案,總抓蟲成本不過500到1,000萬美元,佔總開發、發行、配套改造、維護成本相信只是九牛一毛。(延伸閱讀|總統府週末遭駭,吳怡農深夜沉重發文|這三件事沒做好!許多國家機密已外洩僅尚未公開

這張全球駭客武林帖,或可取名為「3T Global」。3T就是——Taiwan、Technology、Trust這三個英文字的縮寫——台灣科技可信賴。

這項「百萬美元徵駭客」行動,也會讓台灣在國際上發光,顯示台灣政府的作風及科技感已經超前部署。誰說內政部不能做外交?

政府出政策、出錢,至於項目的推動方,以我有限的經驗,我覺得以「零時政府」這NGO在世界駭客界的地位,可以推動得不錯。

(獲作者同意轉載

其他人也在看

你可能有興趣

影音推薦

【2022.SDGs國際論壇 #2】中央、地方、產業 永續利害關係人如何協作?|永續議題分析與利害關係人協作

已成功複製連結