2016年9月14日

“科技101”專欄，由美國之音科技與網路安全記者黃耀毅為我們介紹最新的科技趨勢。

2015年，美國聯邦人事管理局發現駭客入侵多時，數以百萬的聯邦雇員資料遭到竊取，負責調查的美國官員與網路安全專家指稱是中國駭客所為，不過中國否認。美國國會針對此事持續調查，並在上週發表調查報告。
9月7日，美國眾議院“監督與政府改革委員會”，針對2015年美國聯邦人事管理局遭到中國駭客入侵一事，提出241頁的調查報告----------“人事管理局資料外泄案：一個世代以來，政府如何為害我們的國家安全”。這份報告由三位共和黨議員共同著作，分別是猶他州的傑森夏非茲、北卡羅來納州的馬克梅鐸，以及德州的威廉赫爾德。

嚴重傷害美國國家安全
由於這份報告是由“監督與政府改革委員會”所製作，所以調查重點是放在如何改善美國政府，確保未來不再受駭客入侵，所以並未特別針對駭客源頭。關於駭客的調查單位，是聯邦調查局FBI、國土安全局，以及美國司法部等單位。報告中說，“方便起見，我們將之稱為駭客X1 跟駭客X2”。

今年7月，美國之音記者曾經問過美國司法部助理部長約翰卡林。他表示，人事管理局遭到駭客入侵的案件還沒有結案。由於美國與中國之間的敏感情勢，美國官員只在以不具名的方式接受採訪時，會說是中國駭客所為。在公開場合，只會用“源自中國的網路攻擊”這樣委婉的說法，從未公開說出中國駭客這四個字。不過網路安全專家在分析駭客攻擊方式與技術之後，都將箭頭指向中國，而被發現在人事管理局安裝後門，導致駭客入侵的合約工當中，有兩位持有中國護照。

而從美國官員的一些評論看來，也可窺見端倪。如前美國中央情報局局長邁克爾黑頓（Michael Hayden）說：“直到那些人去世為止，人事管理局當中的人事資料，對中國來說是個資訊寶庫。”
此外，美國政府的一些作為，也呈現出這些駭客的源頭。如美國國務院緊急召回一些派往中國的員工，因為他們其實是為美國情報部門工作。而這樣的資訊，在這批被駭客竊取的資料當中可以被分析出來。

這份國會報告當中指出，有420萬現任以及前任聯邦政府員工、2100萬申請過極機密等級的人的個人資料，都遭到中國駭客竊取。同時，這當中的人有560萬人的指紋也被竊取。國會報告特別列出此次資料洩密所會造成的重大傷害，就是安全審核表格內容的洩露。因為這份表格是所有申請安全等級的人都需要填寫的，包括美國國防部，到美國國務院的員工。聯邦調查局局長詹姆斯科米（James Comey）說：“我的安全審核表格（SF-86）列出了我18歲以來住過的所有地方，我旅遊過的所有外國國家，我全部的家人，他們的地址。所以不只是我的身分受到影響。我的兄弟姊妹，我的五個孩子，他們的資料都在上面。”

這份報告認為，人事管理局的這次駭客入侵事件，對美國已經產生危害國家安全的程度。

誰該負責？
報告中指出，早在2005年，人事管理局中的督察辦公室就已經指出人事管理局擁有如此敏感資料，但卻缺乏完善的網路安全防護措施。但該單位卻一直沒有改善。所以這個問題是已經存在十年以上了。不過報告中也指出，2015年督察辦公室將警告升級，說人事管理局的安全措施是“顯著不足”。而且在2014年，美國國土安全局的“電腦危機應變小組”（US-CERT）還特別通知人事管理局，說有協力廠商試圖侵入他們的系統。而2014年5月，國土安全局協助人事管理局將代號“駭客X1”的入侵者趕出系統，但卻未察覺駭客X2已經悄悄進入他們的系統。從2014年7月到8月，駭客偷走安全審核資料；2014年12月，偷走人事資料；2015年初，偷走了指紋資料。

國會報告認為，已經有多次警告，並且面臨過真正的入侵事件，但人事管理局卻遲到2015年之後才開始佈署更為精密的安全防護措施。而直到2015年4月才發現這起嚴重的駭客入侵事件，所以人事管理局存在著人為疏失。

當時的人事管理局長凱薩琳阿邱麗塔（Katherine Archuleta），在這件事之後以辭職以示負責。不過，人事管理局方面也對誰該負責有不同看法。如當時的人事管理局科技長唐納希摩爾（Donna Seymour）就說，不是他們不願意加強安全措施，並且將人事資料作加密處理，而是聯邦政府設備太老舊，有些甚至落後20年，他們無法一下更新那麼多。也有評論指出，其實聯邦政府一直試圖加強安全措施，但這幾年國會預算一直打死結。好幾年來，聯邦政府預算持續被削減，甚至在2013年導致聯邦政府關門，所以也不能只怪行政單位。