公部門禁危害國安產品 數位部:逾千個列管
數位發展部修正《資安法》,禁止公部門使用「危害國家資通安全產品」,但擔憂產品曝光後,可改名規避,因此清單都未公開。資安署長謝翠娟23日在立法院備詢表示,清單約有10個大項,1000多個產品列管中,由於部分產品仍有資料庫查詢需求,因此採限制性使用。立委洪孟楷質詢提及,數位部修正資安法是否有定義什麼是危害國家資安產品?有無產品清單?數位部長唐鳳表示,目前已盤點中共可實質控制產品,包含軟硬體和服務,若有部會使用就會限期汰換,透過斷網措施,確保後續不會有影響。謝翠娟補充,1000多個列管產品中,資料庫與電子書約占1/5,目前列管產品仍未汰換,主因是有查詢對岸學術資料庫和論文等需求,但仍須經資安長同意後才可使用。洪孟楷質疑,中下游廠商使用部分是否也要列管?如台鐵車站螢幕先前曾有駭客入侵,台鐵就推給下游廠商。唐鳳說,目前「各機關對危害國家資通安全產品限制使用原則」已修正,公眾場域都比照公務場域須納管。唐鳳表示,公部門共同供應契約中,超過2個機關使用的產品較無問題,若是全新產品、公務系統沒用過的,可詢問數位部,該部將檢視是否受中共實質管控。立委林俊憲擔憂,政府1年採購20萬件資安設備,資安法未訂定相關罰則,使用機關若無落實盤點設備或自行採用,如何知道有問題的產品。對此,唐鳳也表示,數位部已跟公共工程委員會討論,將資安相關規範放進新的採購契約內,只要連上公用網路就會發現;謝翠娟也說,各機關設備每月都要上網更新漏洞,如此一來,便知使用的產品有沒有問題。
防堵個資外洩!政院拍板設個資三級獨立專責機關
防堵個資外洩,行政院短中長期做法。近來個資外洩層出不窮,從iRent到微風集團,企業紛紛中標,連政府都意識到資安危機。為了有效防堵,行政院日前開會定調,短期先以強化機制處理為主,中長期則要設立個資第三級獨立機關,最快本會期送立法院審議,1年後有望成立。針對重大矚目個資事件的處理方式,行政院陸續召開跨部會議討論,擬定短中長期做法。短期將採先前已公布新建立的機制,須於3日內進行行政檢查,10日內完成報告並報告,隨後政院要在兩周內召開會議檢討。此外,考量目前個資法罰則太輕,上限僅20萬,國發會因為是個資法的法律解釋機關,將推動修法。至於個資法裁罰要提高到多少?官員指出,目前裁罰是2到20萬元,且只要限期改善就不罰,但考量應有改善程度的認定,將進行分級;至於開罰額度尚待討論,必須考慮與其他專法一致性,還要盤點國內相關法規,預計本會期提出。至於中長期,行政院與相關部會已有共識,傾向讓個資獨立監督機制走向「機關化」,且應是第三級獨立機關,設在行政院底下,類似運安會的存在。知情人士說,該機關有獨立的預算跟人力,才能落實個資監督並進行裁罰。至於成立時間,根據憲法法庭去年8月對健保資料庫使用違憲爭議判決,需在3年內修法或另立專法保障隱私權,也就是114年8月前,「但預計會比這時間更快」。據悉,國發會最快將於這會期提出組織法送立法院審議,預計1到2年時間可以成立個資的獨立三級機關。實際上,個資法是普通法,規範資料處理及利用,可管公務跟非公務機關;至於資安法是特別法,比較嚴格,就資安設備導致的資安外洩做規範,且僅針對公務機關及特定非公務機關(關鍵基礎設施、國營事業跟政府管轄法人)。一旦國發會推動個資法修法,也會連動推動資安法的修法;目前資安法為數位部管轄,部長唐鳳日前便透露將重新檢視資安法納管範圍。據了解,根據個資法,如果民間發生重大案件,主管機關必須介入作行政檢查,而數位部正在研議,若民間也發生重大資安疑慮事件,要不要比照個資法,讓資安法也能明訂由政府主動介入。惟仍要考慮民間跟公家機關的界線及處理方式,公家還是需比民間嚴格,所以目前仍在討論階段。
遭駭不重訊4/製造業資安太脆弱 立委:國家隊要動起來
台灣最重大的資安事件發生在二○一八年八月,受害者還是「護國神山」台積電。當時由於一名操作人員未依照SOP掃毒新進機台,導致名為「WannaCry」的勒索軟體趁隙侵入,造成三大廠區部分機台停擺三天,損失高達新台幣五十二億元。台積電二〇一八年發生新機台被勒索軟體入侵危機,所幸在四十五小時內就處理妥當。(中)台積電總裁魏哲家(圖/報系資料庫)一名資安人員感嘆,許多製造業大喊「工業四.○」口號的同時,卻仍把老舊設備系統連上網,這就是悲劇的開始,「因為這些老舊的設備系統,真的很脆弱,相當容易被發現資安漏洞。很多台灣企業只顧著賺錢,而罔顧建置資安設備,維護資安對他們來說,就是成本的額外支出。」立委高虹安指出,自去年新冠疫情爆發後,線上購物、宅經濟、雲端等服務倍增,卻也讓駭客有了可乘之機,甚至有駭客組織提供「勒索軟體即服務」(RaaS)的攻擊服務,大肆招攬生意。2018年,台積電的新進機台中藏有WannaCry勒索軟體(圖),導致3大廠區停擺,損失52億元。(圖/讀者提供)高虹安呼籲,行政院既然在去年底已成立「資安國家隊」,就應該盡速針對勒索軟體氾濫的問題,提出解決方案,如果不快點動起來,勢必嚴重影響高科技產業的發展,駭客攻擊除了會損害企業商譽而失去訂單,也會造成股價波動,影響民生經濟。
總統府資安破網 許毓仁:沒錢作訓練
總統府內部會議記錄疑似遭駭客洩漏,府方稱該資料遭變造過,不過這次事件也引發外界關注政府資安問題。國民黨前立委許毓仁表示,上一屆他就針對資安問題質詢過,當時行政院資安處表達「沒有預算」做公務體系的資安訓練,導致從下到上是一個資安素養不足的狀況,間接造成門戶大開。許毓仁表示,兩周前中油被駭客攻擊癱瘓電腦系統、前天總統府疑似被駭客入侵,內部機密文件外洩,且不論是否人為疏失或是 故意洩露,又或是真的被入侵?這兩件事情看似無關,但是有其連鎖效應 (chain reaction),而就資訊戰爭的角度來說,已經達成目的了,就是造成心理焦慮 (mental anxiety)。對於駭客事件,許毓仁說他並不意外,因為國家根本沒有編列足夠的資源和預算做好資安防護。上一屆行政院在訂立《資通安全法》時,規範舉凡國內的關鍵基礎設施都要加強資安防備,而中油被駭客入侵,是屬於能源範疇,也就是已經入侵到國家的核心關鍵基礎設施,行政院資安處是否沒有察覺到呢?是否失職?攻擊的層次有多重呢?入侵了幾層呢?當時在訂定《資通安全法》時,他就要求除了八大關鍵基礎設施納入外, 更應該給予各部門單位足夠的資安預算,用於編列資安設備、人才補強以及系統建置,否則訂立這樣的法,如同「沒有牙齒的老虎」。許毓仁表示,520總統就職即將到來,會不會還有有更近一步的攻擊呢?這次的駭客入侵是不是只是一個前哨信號呢?希望政府國安單位能夠正視這樣的訊息,恐怕這不是單一個點的突破,而是整個系統性風險發生的前兆。
紓困慢半拍 花1.8億建置明年9月才上線
行政院提出紓困預算送交立法院審查,不過內容卻讓立委看不下去。國民黨立委吳怡玎點出移民署編預算要建置「旅客訂位及行程分析系統」,高達1.8億的鉅額經費令她難以理解,更誇張的是,該系統分3年建置,總經費要2.9億,系統可以上線運作要等到2021年9月,「這是哪門子紓困?」移民署於追加紓困預算中編列1億8658萬建置「旅客訂位及行程分析系統」,目的是強化境外人流管理追蹤旅客旅遊史,並進行大數據分析,早出染疫旅客造訪點。其中資料庫管理、作業系統採購及開發要價5480萬,硬體及資安設備6978萬,分析規劃及監審費用6200萬。而該系統預計分成三年來建置,總經費要價2億9458萬,第一年預計辦理基礎建置1.8億,第二年辦理旅客資料備份、歸戶及犯罪行為分析等項目,經費5100萬,第三年辦理異地備援系統建置及擴機關資料接介要5700萬,除第一年由追加預算編列外,其他將由年度預算支應。系統上線運作時間預計是明年9月。吳怡玎認為,立法院急著要通過「紓困預算」,之所以有急迫性,是因為對於生活出現問題的民眾要緊急提供「紓困」,現在卻要我們幫他們通過一個明年9月才能上線的系統,其價格更是令人懷疑,以衛福部的「擴充個案查找系統」來說,他們的建置費用也才1600多萬,移民署竟然要花費1.8億?吳怡玎也質疑,我們無法評估明年9月之後的疫情將會怎麼發展,但顯然這麼長時間的建置跟開發不符合「紓困」的緊急性。且過去之所以會擔心境外旅客隱匿旅遊史,是擔心他去過疫區卻隱匿,但現在幾乎各大主要國家幾乎都是疫區了,還有探查旅遊史的必要性?
IoT世代萬物皆可駭! TTC推物聯網資安聯合檢測中心
隨著萬物聯網的物聯網(IoT)世代漸漸成為未來生活的環境,這些連接網路的資訊設備安全性就不得不加入重視,在看到下一波資訊社會發展的重要的話題,由財團法人電信技術中心(TTC)與桃園市政府合作、攜手多家國內外廠商,於虎頭山創新園區成立「物聯網資安聯合檢測中心」為資安設備安全把關。TTC指出,隨著物聯網的蓬勃發展,也將帶來「萬物皆可駭」的資安隱憂,一般民眾及企業所使用的物聯網設備,如Wi-Fi、網路攝影機、印表機、投影機、醫療設備、農業器具等,都有可能遭受駭客攻擊,攻擊除了影響設備正常操作、財物損失及個人隱私外洩外,嚴重可能淪為駭客工具導致更嚴重攻擊事件。美國緊急醫療研究機構(Emergency Care Research Institute, ECRI)2019年報告指出,駭客攻擊是10大醫療科技危害之首,駭客可藉由遠端滲透醫療系統或裝置,造成醫療設備效能降低、竊取個人及醫療資訊等。TTC自107年起執行國家發展委員會「亞洲.矽谷-強化物聯網資安防護裝備」計畫,物聯網資安聯合檢測中心為第二期計畫,營運團隊為大同世界科技及互聯安睿資通,選定在桃園市虎頭山創新園區做為中心據點。目前參與物聯網資安聯合檢測中心產官學包括TTC、桃園市經漸發展局、國家通訊傳播委員會(NCC)、交通大學、優利國際(UL)、中華資安國際、大同世界科技、互聯安睿資通、世大福智科技、尚承科技等,都是國內資安領域領導業者。