從希拉蕊的電郵門事件談起

還記得2007年11月，雅虎總裁楊致遠以及副總卡拉漢在美國眾議院的聽證會應議員們的要求，高調地向師濤母親鞠躬道歉的新聞嗎？

這位無助的母親，在利益至上的科技新貴背後痛哭失聲的畫面另人動容，事件起因是當初任職於「當代商報」編輯部主任的師濤，透過雅虎信箱將當局嚴禁六四15周年相關活動的指示傳給了國外網站，事後他萬萬想不到，這家標榜安全隱私與正義人權的美國科技巨擘，在面對利益與商機時卻變成道德的侏儒…  這些私人的電郵記錄被雅虎提供給中國當局作為叛亂定罪的佐證。

電子郵件的安全性

電子郵件的發明人據稱是Ray Tomlinson（雷·湯姆林森），1971年底時（距今有44年了）他在所屬BBN科技公司劍橋研究室裡，把世界第一封電子郵件從一台電腦發送到毗鄰的另一台電腦，這可算是最早e-mail的雛型了；直至今天，各式各樣的協作工具以及傳訊軟體風起雲湧，但仍難以撼動電子郵件的地位，e-mail仍然是企業內最主要的辦公工具，不過，它卻也是駭客最愛的工具之一。

事實上，根據趨勢TrendLabs的研究，有91％的目標攻擊是利用電子郵件作為開始的進入點，其中則約有78％是利用嵌入在e-mail附件的惡意軟體來作後續的攻擊，顯然電子郵件是阻力最小成本最低的一種攻擊路徑，可以用來規避現有的安全防禦，藉由不知情的第三者點擊執行進而滲透網路、感染更多電腦，因此，電子郵件的風險，除了人為的有意洩漏（收發信的雙方、攔截信件的第三者、伺服器的管理者、猜測破解信箱密碼、窺覬郵件內容），還有木馬屠城的危險（附加惡意附件或釣魚網址披著郵件外衣繞過防火牆直達位於內部網路的信箱），所以比起直接擂門叫陣地在防火牆前苦思破解，以電子郵件方式駭入企業內部可說是門檻較低成功率又高的方式。

布拉蕊的電郵門事件

以下新聞為經濟學人的報導（原文網址在http://www.economist.com/blogs/democracyinamerica/2015/03/hillary-clintons-e-mails）。

　　如果你身為美國政府雇員、或正替美國政府工作，那麼使用高科技可能是件痛苦的事，光是一封單純公事上的郵件，可不是隨便一支手機或筆電輕彈一下手指就能寄出去，得要透過一台認證過的機器才行，所以想要如使用Gmail那樣隨時隨地在任何裝置方便迅速的收發e-mail是不可能的事，所以希拉蕊就承認，她沒有使用官方信箱而用個人信箱來寄送公務相關的信件，只是圖個方便而已。

　　如果只是一般公務員就罷了，但問題在於希拉蕊可不是普通的公務員，而是堂堂的國務卿（其地位比一般的內閣部長還要高，堪稱所有內閣成員中的首席，是除了總統歐巴馬之外，繼美國副總統後的第二號人物），在這次事件中，據稱她除了使用Gmail之外，還在紐約郊區的家裏架設了一台私人的郵件伺服器。

　　這樣的作法明顯違反了聯邦政府必須將所有公務相關郵件儲存在官方伺服器的規定，也讓希拉蕊身陷在公務授權與私人雜務不分的麻煩之中，各方的指責聲浪，尤其是來自眾議院的共和黨紛至沓來，逼得希拉蕊昨天在聯合國女性事務發表了主題演講之後，立即舉行一個記者會說明，她認為自己僅是像其他的公務員一樣，用Gmail來收發個人相關的郵件。

　　她堅信自己並沒有逾越相關的法令，此外，她也交付了所有工作相關的e-mails（55,000張的影印紙本），至於其它牽涉到隱私的個人郵件則排除在外，因為她認為有權不公開這些個人資料。

　　這就是為何這個e-mail事件令人感到難堪的地方，因為隱私所以沒有直接證據能顯示有任何不法隱藏在希拉蕊家中的伺服器中，不過她所犯的這個錯誤已經明顯的告訴我們，問題在於她的是非判斷問題，以及一種寬以律己的一種態度。

　　很明顯的，希拉蕊不能也不願公開她所有的個人郵件內容給那些虎視耽耽，企欲將這個事件和2012年駐利比亞外交官被殺害事件牽連在一起的共和黨們，當然或許她的這些私人郵件內容都是無關痛癢沒有害處的，但卻只要她一天不公開就無法證明這點，反而給人一種傲慢的態度：她憑什麼可以不同於其他的公務人員？

　　但對於希拉蕊來說，幸運的是，目前民主黨內尚沒有能與她匹敵的人選，她暫且不會因此事件而損失太大，且很少有專業的政治討論會關心到那些她私人的電子郵件問題，因此這個現在爆發的醜聞對明年2016大選和她的票數影響應該不太大，但是她這種草率的行事作風非但顯露出一種對於政府法規傲慢無視的態度，更另我們對未來感到不安。

─────────────────────────────────────────

　　這篇新聞是相關目前美國熱門的總統候選人希拉蕊在擔任國務卿期間，因為使用私人郵件收發公務信件，而使得她正深陷於不當使用電子郵件的泥沼之中，文章「Poor judgment」直接以標題點出希拉蕊在此郵件事件中的問題，就是她本人缺乏判斷力，雖然目前尚未有直接的證據顯示出這樣的漫不經心造成國家的危害，但透過這篇專欄，讓我們對於此事件有如下的省思：

1.    政府相關人員應意識並體會到，在內部環境工作不比個人領域，為了整體國家安全考量，在資訊科技的使用上都會受到更嚴格要求與限制。

2.    在工作上求方便，是為了圖利自己還是為了公務著想？

3.    身為公務員卻沒有遵循相關法規與準則，違法時間更長達數年，在這期間沒有任何人提醒與處理。

4.    我們對於高官與普通公務員行事準則的拿捏，其差異遠比想像中的還要巨大，殊不知同樣的郵件疏忽，高級官員所造成的危害更甚於下層的公務人員。

　　同樣的，若我們把上面的政府替代為企業也適用，就在去年2014年底發生的Sony影業駭客入侵事件中，少數高層管理者的郵件內容和硬碟檔案成了駭客們折磨羞辱Sony的寶貝，因此，我們需要思考的是，目前金字塔的階層架構是組織內部最常見的類型，然而資訊風險程度卻是與其相反，尤如其下所映射出的三角形倒影，有時縮小、有時巨大、有時清晰、有時隱諱，造成危害最大的往往是頂層少數的階層，資訊人員如何明查這金字塔倒影的真實形像與堅守原則，反而是最大的課題。