跳到主要內容區塊

機關機密維護錦囊:LINE不當轉傳致洩密

  • 發布單位:政風室
  • 資料提供單位:文化局

公務機密維護 錦囊「LINE 不當轉傳致洩密」

前言
隨著智慧型手持裝置日益普及,資通網絡升級與即 時通訊軟體大行其道,資訊運用除了更加便利外,更伴 隨著令人擔憂之資安事件及機密外洩等問題。熱門通訊 軟體中,不論是 LINE、Facebook Messenger、WeChat 等 ,其通訊安全性都備受質疑,甚有媒體報導警政署表示 即時通訊應用軟體有其便利性,但都是民間研發的商業 軟體,政府機關不能管控,難防洩密。加以邇來媒體報 導使用該等軟體諸多被駭、詐騙、洩密及誤傳事件,讓 其安全性備受爭議。此等資訊安全情事屢見不鮮,值得 機關加以防範與管制。

案例摘要
刑事局某外勤隊日前與多個縣市警方共同偵辦一起詐 騙集團犯罪案,行動前所有專案成員都在智慧型手機 上開立一個 LINE 的群組,用 LINE 傳送嫌犯照片、即 時資訊、並下達攻堅指令。惟至現場攻堅時,發現空 無一人,原來嫌疑犯等人早已獲知消息,提早一步逃 離。經調查發現,該次搜索行動採用時下流行的 LINE 傳送訊息,因使用群組發送,群組中某些負責情報蒐 集成員在轉傳訊息時「手滑誤觸」其他友人頭像,致 搜索行動訊息被轉傳,輾轉流連最後傳到詐騙集團手 2 中,導致整個搜索行動提前曝光,致該不法集團成員 先行逃匿,功敗垂成。

問題分析
機關缺乏對於新型設備、軟體之洩密評估風險及預警, LINE、Facebook Messenger、WeChat 等即時通訊軟體 帳號被盜、洩密、誤傳訊息之新聞時有所聞,機關未 建立相關預警機制。 未停用 LINE 等即時通訊軟體利用行動電話號碼自動 加入陌生人為好友的功能,亦未定期刪除或封鎖 LINE 等即時通訊通訊錄之陌生人。 機關對智慧型手持裝置防制洩密之宣導不足,機關同 仁對於智慧型手持裝置洩密方式不甚清楚。 貪圖傳訊快速便利,忽略即時通訊軟體無法加密或刪 除所發訊息,低估該等軟體洩密風險。 公、私務器材物品混用不分,智慧型手持裝置通訊錄 之聯絡人亦公私不分。

改善及策進作為
落實資訊安全稽核檢查作為: 為使資訊安全保密工作更臻完善,除了加強教育宣導 之預防工作外,定期或不定期對所屬機關(單位)同 仁之資訊安全保密工作執行情況,辦理督導考核亦是 重要的一環;務期透過稽核、檢查過程中發掘優、缺 點,對於執行良好者,從優獎勵,對於執行不利者, 則依照相關規定懲處,以落實資訊安全保密執行工作 3 ,並提高機關同仁對於落實資訊安全之警覺性。 定期清查或檢測智慧型行動裝置防駭防毒效能: 智慧型行動裝置之功能已趨近於電腦,由於其攜帶方 便之特性,使用者對於 LINE、Facebook Messenger、 WeChat 等通訊軟體使用頻率及依賴性增加,遭受資安 威脅之機率亦更高,故對於智慧型行動裝置應比照電 腦定期辦理資訊稽核,並加裝及定時更新防毒防駭軟 體,以及審慎維護管理 LINE 等通訊軟體之帳號,避免 機密資料外洩或遭受惡意程式攻擊的危機。 確實落實公務機密宣導事宜,深植資訊安全觀念: 目前智慧型行動裝置使用率極高,但是使用者對於智 慧型行動裝置潛在之資安危機普遍缺乏警覺,尤其以 LINE 等即時通訊軟體傳送公務訊息或資料時,如能提 供同仁瞭解智慧型行動裝置可能存在之資安漏洞,方 能明瞭弱點進行強化與修補。是以,各機關得彙整相 關公務機密法令規定、洩密違規案例,以及可能導致 洩密管道與因素,並結合機關各項會議及活動,有計 畫有系統的利用各種時機向同仁宣導,使每一同仁均 能瞭解相關法令規定,以培養時時保密、處處保密之 良好習性,提高同仁保密警覺,藉以降低洩密風險。 使用安全性更高之即時通訊軟體: LINE、Facebook Messenger、WeChat 等通訊軟體屬於 國外公司研發之軟體,其電腦主機與管理權限皆不屬 我國管轄,且上述軟體使用人數破億,商機極為龐大 已成為駭客覬覦的目標,洩密風險日益升高。若機關 4 有即時通訊需求,建議使用安全性更高,使用者較少 之即時通訊軟體,如我國工業技術研究院研發的開發 之揪科(Juiker)APP 作為替代,惟在未轉換更安全 之相關軟體前,建議各機關妥善維護管理 LINE 帳號。 以公務用或私用之用途區隔智慧型手持裝置: 使用公務用智慧型行動裝置,應避免私人用途及連結 不明網站或下載不明之程式或軟體;傳送訊息時,應 再三確認收件者對象及內容是否正確,避免誤傳,內 容涉及隱私、機敏資料,應盡量避免使用即時通訊軟 體傳送。 其他注意事項 公用智慧型手持裝置(含新型警用 M-Police 裝置)不 可任意破解,如 iPhone 或 iOS 裝置不可提權越獄( Jailbreak)、Andriod 系統不可取得最高權限(Root )、刷機。

結語

公務機密維護方案已進入 E 化轉換時期,方能提升 維護策略,且須由多方陎著手,方能立見其效。然公用 智慧型手持裝置已成為公務機關相關提升工作效率必要 設備,而是否有良好管理介陎輔助,並能對同仁同步專 業資訊訓練,以提供正確使用方式,且研討其可能發生 洩密及違失態樣,俾免資料外露與洩密疑慮,均為研析 核心。 是以,如何善用公用智慧型手持裝置,以提升行政 5 之效能,同時保護公務機密與個人資料不致外洩,實有 賴公務同仁的努力,並持續透過宣導與教育加強保密觀 念,使其養成專業的保密素養與習慣,防制違反保密規 定或洩密情事發生,俾使公務機密維護作為更臻完善, 確實保護民眾與機關權益。