資安工作現在變成高危行業

美國總統川普在4月9日下令調查前資安暨基礎設施安全局（CISA）局長Christopher Krebs，這項行動雖引起社會反感，但也反映出資安議題在這個時代的政策與政治影響力。資安工作者現在越來越需要在資訊不全、情勢不明的情況下，做出重大影響力的決策，其中許多決策都會影響政治。

Krebs在2020年總統大選後，川普指控選舉舞弊的爭議期間，在一份聯合聲明駁斥選舉舞弊的指控，主張那是「美國史上最安全的一次選舉」。如今，川普不僅無視司法體系的中立原則，要求對現任職於民間資安公司SentinelOne的Krebs展開無限期調查，同時也撤銷了他的安全許可（Krebs現已離職），目前任職於該公司的其他員工，安全許可也連帶遭殃。但SentinelOne顯然與2020年的事件完全無關，川普政府的這種作法，未來很可能會讓美國企業在聘用人才之前，對人才的政治立場進行審查。

Krebs當時在言論自由與假訊息管控之間，做出了一項關鍵判斷，將對抗假訊息納入基礎設施保護的資安職責之中。無論我們是否認同Krebs的判斷，應該都會承認這件事相當複雜，無法明確地對錯二分。舉例來說，一個平台決定封鎖某帳號，或許原本不屬於狹義的資安問題；但如果這個被封鎖的帳號，之後又用匿名方式重新登入平台，那麼平台就必須處理實質上的資安風險。換句話說，這些問題之間的界線往往模糊不清，經常同時涉及資安技術、平台治理與言論規範等不同領域，彼此交互影響，使得風險難以釐清與應對。

Krebs並非近年來唯一因履行職責而面臨法律風險的高階資安專家。2022年出現了一項史無前例的判決，法院以未通報2016年重大資安漏洞事件為由，將Uber前資安長Joe Sullivan定罪。Sullivan在駭客攻擊之後，將該次資安漏洞解釋為Uber的漏洞回報獎勵計畫（Bug bounty），也就是鼓勵白帽駭客搜尋漏洞換取酬金的正當制度。這種處理方式看似防止了Uber資料外洩至公開網路，但也巧妙規避了企業應有的通報責任。法院的判決在整個資安界引發震撼，許多資安長開始擔心自己會因此吃上官司。

2020年SolarWinds攻擊事件，則顯示目前執法機構逐漸開始跨界追責，要求企業除了承擔資安技術責任，也需揭露資訊並通報風險。當時駭客利用SolarWinds旗下Orion網路監控軟體的更新程式，在合法更新檔植入惡意程式，滲透進入美國聯邦政府及其他機構的系統。但奇怪的是，這種事件通常由該資安主責機關處理，當時卻是由負責監理金融機制的美國證券交易委員會（SEC）介入調查。SEC以SolarWinds僅向投資人發布「籠統且假設性」的聲明為由，指控該公司沒有充分揭露駭客攻擊的影響，誤導了投資人與客戶。

在SolarWinds事件中，針對該公司及其資安長Timothy Brown的指控，最後遭到撤銷。原因是法院認為雖然出於財務誘因的勒索軟體攻擊確實存在，但大多數情況下股東並非駭客的主要鎖定目標。此次指控遭撤銷，也讓人進一步質疑：一個主管證券市場、投資人資訊的監理機關，是否具備處理資安問題的正當性？此外，許多不受SEC監理的私人公司，難道就不容易有資安破口嗎？這些問題都尚待釐清。根據報導，SolarWinds公司內部人士在事件公開前夕，出售了總值2.8億美元的股份，此舉照理已經構成重大內線交易，且這才是SEC該管的事情，但至今仍未有人遭到起訴。

如今在共和黨主導下，SEC正試圖削弱自身的監理權限。雖然新政府上任後，SEC對加密貨幣政策的立場轉變受到較多的關注，但其實資安也是另一個重要的改革領域。川普政府一方面不斷削弱CISA這個原本主責全國資安的核心機關，另一方面也將逐步讓SEC納入整體資安政策布局之中，作為策略調整的一部分。2025年2月20日，SEC宣布將原本的「加密資產與資安部門」（Crypto Assets and Cyber Unit）更名為「資安與新興科技部門」（Cyber and Emerging Technologies Unit），未來將更聚焦於「直接影響散戶投資人」的詐騙行為。

儘管Sullivan、Brown以及差異性最大的Krebs案件並不能一概而論，但可以確定的是，這凸顯出資安長與相關職務的個人法律風險正迅速升高，既是產業發展的重要分水嶺，也帶來新的制度挑戰。在拜登政府任內，SEC汲取SolarWinds事件的教訓，要求企業在遭遇資安事件後，需要更快速準確地向投資人與主管機關通報。前述通報規範於2024年底生效，但在川普上任之後即將被推翻。SEC在拜登政府任內設計的這套規範，原本是希望讓企業把資安當成核心治理議題，結果反而讓資安長這類關鍵職位承擔更大的個人法律風險，讓許多資深從業者退卻，或讓具備條件的高手不敢承接。正如資安與假訊息之間沒有清楚的界線，資安從業人員的個人法律責任，未來也將是各國不可忽視的關鍵難題。（本文作者為金融研訓院外聘研究員；譯者劉維人）