五月是令人討厭痛恨的報税季節。所得稅、房屋稅......什麼烏龜稅都要在這個月繳給毫無所成的政府,而為了提升收稅效率,簡省收稅的麻煩,政府正在大力推動全民網路報稅。但是安全嗎?
政府當然會說沒問題啦!而且網路報稅好 Easy(廣告詞後面原本還接一句好 Happy,真是太噁爛了!正常人應該都不會同意吧?把錢送給人家會 Happy?),往年還會講一下網路報稅很安全,今年完全不提了,只有資安業者為了推銷產品,順便以恐嚇行銷的方式,推銷一下他們的產品。
網路安全,是個很複雜難解的問題(其實正確的講應該是無解),我們先從報紙上刊登的案例來看看。
2007 年 5 月 18 日的自由時報刊登了一則新聞,標題是「網路報完稅,仍被裁罰補稅」,大意是國稅局認為苦主沒有繳稅,必須補稅及罰鍰,理由是苦主提不出收執聯為證據(大概是沒有印下來,但苦主說印表機壞了,電子檔在換電腦時遺失),雖然提出了信用卡繳稅的證明,「但國稅局僅同意扣掉當時的 14 萬餘元已繳稅款及降低罰鍰,還是要求李小姐應補稅九萬餘元及罰鍰三萬餘元。」國稅局從頭到尾堅稱資料上傳沒有完成,所以代表沒有申報,因此必須補稅並罰鍰。
但是,沒有完成,怎麼會出現收執聯的列印畫面?沒有完成,銀行信用卡又如何根據報稅的授權碼扣款?顯然網路報稅有許多問題存在。在這個案例中,網路申報的過程中,所發生的問題到底是什麼,說真的,實在很難查。不過,卻讓我們窺見網路報稅不安全的一面。
一般來說,透過網路傳輸資料是有相當大的風險,底下我們從傳輸過程來分析可能的安全問題。
一、自己的電腦:自己的電腦內有沒有被植入木馬程式(也就是後門程式)?如果有,資料可能真的沒有傳到想去的目的地,而傳到黑客那兒啦!要是黑客做的更絕一點,再做一個假網站,讓你認為申報完成,那所有的個人財務資料、個人隱私資料、帳號密碼什麼的,就全送給人家啦!就算自己的電腦真的很乾淨,沒有病毒、木馬程式、蠕蟲,你也沒辦法保證電腦絕對不當機(別說一般不熟悉電腦的使用者啦!當今世上,不論大小電腦公司,絕對沒有哪一家敢跟你保證電腦不當機),傳到一半或快完成才當掉,結果就是沒有成功。這時得從新再來。有的認證機制很嚴格,只允許登入一次,這時候除了認栽,沒有其他辦法。
PS:駭客指的是沒有惡意的電腦高手,黑客指的是具有惡意的駭客,這些人才會利用惡意程式破壞別人的電腦或竊取資料,大家別弄錯哦!
二、網路傳輸路徑:資料透過網路傳輸,會經過許多台電腦的,不是像有些人所想的一樣,直接就到對方的電腦(這種情形只有二台電腦直接以傳輸線互連)。
通常的情況下,至少得先連到 ISP 機房的伺服器(就是提供你上網那家公司的電腦),然後再連到可以連到對方電腦的伺服器,最後才是對方的電腦。不過網路傳輸通常沒這麼單純,當 A 這條路徑不通,電腦就會自動尋找 B 路徑(這樣才能確保資料會傳到目的地啊!網路一開始的目的就是這個),在這個過程中,沒人知道到底會經過多少台電腦。
況且,誰知道這些電腦是不是都沒問題?有沒有被黑客植入攔截資料的程式?這沒人敢保證。上述的苦主,說不定資料在半路上就被攔截啦!也許有人會說,我有選擇 SSL 3 的安全傳輸,加密之後就沒問題了吧?嘿!嘿!如果加密就沒事,那麼世界上怎麼還會有那麼多大公司、政府單位資料外洩的問題?套一句日本漫畫常見的對白:「如果事情這麼容易解決,這個世界就不需要警察了!」
三、國稅局的電腦:和個人電腦一樣,國稅局的電腦也可能有問題。幾個月前,蘋果日報才報導過,政府的許多網站都被植入惡意程式(很抱歉,因為蘋果日報的網站必須加入會員才能查歷史資料,所以這裡不提供連結),包括法務部的網站。連政府的網站或電腦,都不能保證是安全的,所以就算你的資料真的傳到他那邊,也不代表他真的收到了。可能第一時間被轉傳出去了,也可能被判定無效,電腦直接把資料丟棄。當然啦!還有一個重要問題,就是所使用的作業系統、應用軟體、資料庫等的可靠度是不是足夠、是不是完全都不會出問題,這還是另一個令人頭痛的大問題。別忘了,今年五月開始網路報稅時,國稅局的電腦就當了!當時申報的那些人,最好趕快去拜拜,祈求上蒼保佑自己的報稅沒問題!
這麼多的因素,都可能讓網路報稅無法成功。雖然機率很小(政府是這樣假設的啦!),但是遇到了,就很難查清楚責任所在,更別說能證明自己的清白了。而且,政府的強制力比個人大太多了(它可是有警察和軍隊呀!),要你補繳就補繳(如果訴訟輸的話),不繳還可強制執行,硬是把你的錢挖出來。到時候倒楣的可是自己呀!因為平常錢都不夠花了,再被多挖一筆,內心的血是不夠淌的。
像所長這種長年累月和電腦與網路奮鬥的人,深知目前的電腦和網路不是所想像的那麼安全可靠,所以從來不採用網路報稅。寧可請個假親自到區公所報稅,雖然有點麻煩,但是安全,而且現場報稅的人很少,不需要排隊。只是會遇到國稅局人員來宣導,不斷的強調網路報稅又快又安全。去年,還強調現在年輕人都用網路報稅,這句話就真的惹火我了:「你真的懂網路安全嗎?網路有什麼不安全的地方?有什麼安全威脅?妳知道嗎?」她答不出來,我就給她一個忠告:「如果你們國稅局的人完全不懂,那就沒資格跟人家講什麼網路報稅很安全!」
最後,所長要聲明,不是在這兒反對網路報稅的政策,而是推行這項政策的同時,應該要提供真正安全的網路報稅機制和環境。同時,也要告知全民採用網路報稅時,它可能具備怎樣的風險,遇到問題該怎麼解決,或者是自力救濟的配套措施。人民有知的權利,不可以為了政府單方面的方便而推行政策。而發生問題時,也不可以政府一面倒:沒收到網路資料就是民眾沒有申報!完全無視於其他可資證明的證據!
沒有留言:
張貼留言