我指得是昨日的 (7/11) 《2022網路訊息戰與國家安全國際論壇》和今日的《2022資安、基礎網路與國家安全論壇》。熟悉台灣相關論壇舉辦生態的,當然不會有什麼異見。不過正因為如此,我們更不能習以為常,因陋就簡。既然是國家安全,那麼勢必要有國家安全的「陣仗」。這樣的期許應該不為過吧?
首先,這是第二年以此為題的論壇。主辦單位很奇特,並非我們常態認為是能舉辦國家安全相關論壇的單位。不過去年和今年都是同一個主辦單位,講者陣仗部分,是有屬於正規國家安全體系之人是沒錯。主辦單位能以名不見經傳之姿邀請到這些人出席,也算是饒富某種詭異的檯面下默契和突破?題目挑的方向雖正確,但看不出來希望接觸的受眾是哪些。我參加過若干屬於傳統領域的安全論壇,也參加過比較開放的網路安全會議。這些會議的受眾輪廓都很清晰,所以能從會議得到交流的豐富度,可能是遠遠超出上面所述這一場奇特的論壇。受眾輪廓不清晰,目的不清晰(或許對主辦和協辦單位而言相當清晰),那對於不是所謂「圈子」裡的人,就只是聽一場另外的論壇罷了。
國家安全事務涉己事者之人數,在台灣也不在少數,但其業務在公眾能見度卻是遠低於進步國家。很多國家的國家安全體系,都有上得了檯面上的人願意面對公眾,說明國家安全政策。但在台灣,國家安全的範圍隱諱莫測,國家安全也沒有對外公布整體戰略(例如 National Security Strategy)。透過這些奇特的論壇進一步了解這些人在關注什麼,想的是什麼,也是目前極為少數的管道。
我想到有一位外國記者日前私下問我說,A國家對於B國家的網路攻擊有很多的研究,這些研究釋出的數量不少,品質也很好。釋出的單位包含公部門、商業公司甚至是非營利組織。任何想要學習這些經驗的團隊,都可以透過正式的管道取得。反觀,台灣所遭受到的網路攻擊和各類「網電」威脅,可說是全世界前段班的。可是這方面的進一步資訊卻是難以取得。很多模模糊糊的「印象」來自於寫的有點奇怪的新聞稿,而各級政府對外的各種聲稱,也普遍缺乏合理的驗證途徑(例如充分的第二來源管道)。這一點已經造成不少利益攸關者的困擾。台灣遭受網路攻擊是天天發生的事,對吧?但然後呢?不管問題問得有多淺,再問就拿不到答案了。一般民眾耳熟能詳者,如台灣各種關於個人資料的大規模洩露事件,也屬於嚴重等級,威脅到整體社會的人身安全和權利,是吧?但我們通常只能被迫完全相信台灣政府的新聞稿,或是基於實務經驗,對於網電領域攻擊事件的聲稱,一直保持合理的懷疑姿態。
如果是以上述這種我說的懷疑姿態去看今天的論壇,那我們就會發現,談烏克蘭的比例談得比台灣多。但烏克蘭部分又不是真的對烏克蘭投注了多少時間去理解。想要從烏克蘭學到什麼,照理說是「天賜良機」。起始於國家安全理由的研究體系,不只強度要高,而且頻率要高,信度更是要紮實。甚至不能以過去那種反正這邊學一點那邊學一點的態度來處理。這樣對於正規國家安全體系編制內研究能量的期許,也應該是不為過吧?
「國家安全」,政府當然很有角色,但主要的利益攸關者在這場,反而很少談台灣具體從烏克蘭學到了什麼然後準備改變什麼。進一步來說,這些改變的決策過程,是否就是關起門來自己國家安全還是安全體系的人自己玩?或是有考量到從整體社會尋求更好的解決之道?或是在這個尋求準備改變什麼的過程,也主動一點,求助於盟邦?烏克蘭在2014年之後之所以能夠「臥薪嘗膽」,從某個層面來看,他們在很多國家和 INGO(國際非政府組織)的支援之下,共同打造「異質性」而達到「社會韌性」的努力,是很多人沒有看到的。
這個異質性的體現,某位講者拉了 APNIC 的資料,講到 AS(網路自治系統)過度集中化可能是台灣打造網路通訊韌性的罩門 — 這就是屬於這個層面的課題。另外,不少講者談的東西很有意義,但整體層次有點混亂。這認為這是主辦單位的問題,但主辦單位應該沒有能力分辨這些層次,所以是誰的問題,我也不知道了。
希望這種主題的論壇可以多一點,但議題需要限縮,一個東西要能談的下去,而且可以也要想想是否有比較好的結構去支撐知識的追求和分享。我舉個例子,西點軍校利伯研究所 (Lieber Insitute) 這一系列將近70篇從各種角度談戰爭和法律的精彩研討會 Ukraine Symposium 就是絕佳的範例。台灣在網電和戰爭領域面臨的法律戰複雜度,不會低於烏克蘭,但我們既然不可能請國防大學來舉辦個軍民關係如何融洽建立的研討會,而戰爭領域在台灣的法學界又似乎是如此的陌生(有錯請指正),這些網路上公開的資源都是如此唾手可得,國家安全的圈子這責任就是落在你們的身上了。在面對整體社會韌性建立的過程,台灣國家安全圈子的人,實在不應該繼續關起門來自己玩自己(懂的事情)了。重複的公眾面孔,大概只是隱晦的透露出這個已開發國家/社會被認可的知識儲備實在是極度貧乏。
但台灣真的就只是這樣,只能這樣嗎?