公報發言紀錄
發言片段
lineno: 443
| 發言片段: 0 |
|---|
| 林委員思銘:(10時30分)就這個議題,我想先請教調查局,2016年第一銀行ATM的盜領案,經過檢調人員調查發現,分別在臺北及臺中有22間分行、41臺的ATM皆於更新時被植入兩款惡意程式,嫌犯透過惡意程式成功侵入銀行內網後,再通過通訊設備喚醒程式讓ATM吐鈔,總共被盜領了8,327萬元。我想請問調查局,遙控臺北及臺中第一銀行ATM的操作指令是來自哪裡,你知道嗎? |
| 發言片段: 1 |
| 主席:請法務部調查局資安處余處長說明。 |
| 發言片段: 2 |
| 余處長尚賢:因為那是2016年發生的,據我們所知應該是來自於境外。 |
| 發言片段: 3 |
| 林委員思銘:你不知道嗎?是境外,是遠在1萬公里外的英國,可見網路世界是無遠弗屆! |
| 發言片段: 4 |
| 余處長尚賢:是。 |
| 發言片段: 5 |
| 林委員思銘:第一個被逮捕領錢的車手,是拉脫維亞籍洗錢嫌疑犯安德魯,他被移送時面對警方和媒體的詢問,曾經講得很小聲、悠悠地說:「你們只是擔心那些被搶的錢」。這句話的弦外之音是什麼?是影射出我國的資通安全,看似牢固,但實際上是大有漏洞。 |
| 另外根據iThome電腦週刊在2019年5月30日的報導內容,根據臺灣資安業者奧義智慧的揭露,總計有5個A級政府機關及地方政府,在當年4月被植入惡意程式,同樣是透過硬體、軟體的更新服務時植入後門。 |
| 我提到這兩件例子都是我們金融機關跟政府機關資安防護的大漏洞。我今天想要瞭解,我先問調查局,待會請警政署一併回答,你們兩個單位是我國重要的偵防單位,請問對於你們內部資通核心系統的定期檢測、維修、更新以及驗證的程序為何?你們更新維修後,透過公正第三方驗證,是否會滴水不漏?請回答。 |
| 發言片段: 6 |
| 余處長尚賢:謝謝委員的指教。我們局裡在十幾年前就導入ISMS管理機制,所以整個資通安全的管理是在第三方驗證之下來完成的,而且每年都要經過驗證之後才能讓證書持續有效。我想第三方驗證是非常嚴格的,我們局裡也針對核心系統把它列出來,列為檢測的核心目標,我們也時時做相關的檢測。我特別說明,呼應今天的主題,行政院雖然規定我們禁用大陸品牌的產品,但是我們局裡因為考量整個資料的保護還有機敏性,在相關的規定上面,我們任何的採購都在契約上規範,包括所有的聯網設備統統統不能用中國製造的,也就是大陸製造的產品,我們全部摒除在外,然後在前年我們就已經完成所有的清查。 |
| 發言片段: 7 |
| 林委員思銘:處長現在提到你們都有透過公正的第三方驗證,但是現在全世界的各種產品,很多的代工都來自中國大陸,我剛才為什麼問你是否滴水不漏,而你認為你們跟廠商之間的契約,透過第三方驗證、委外做驗證就一定能夠達到滴水不漏嗎?你們還有沒有其他的方式來做驗證? |
| 發言片段: 8 |
| 余處長尚賢:跟委員報告,我們局裡的網路架構裡面,從一開始我們就是採取實體分離的方式,也就是說我們的內網跟外網實體上是完全的隔絕,僅留一些對外服務的網絡在外面。 |
| 發言片段: 9 |
| 林委員思銘:我要強烈建議你們,對於整個政府機關的重要產業、資通訊產品還有核心系統在安裝維修更新完成後,除了要經過第三方實驗室完全、安全無虞的認證,對於這些實驗室所進行的前面的晶片、軟體、硬體、韌體有沒有駭客植入惡意程式等安全檢測,這個部分你們一定要做,所以現在我想瞭解這部分你們是如何做、有沒有做? |
| 發言片段: 10 |
| 余處長尚賢:跟委員報告,其實在我今天的專案報告裡面有特別提到二點,我們有一個中程計畫是從110年到113年,我們會主動針對國內一些聯網設備,也就是所謂的IoT設備,會主動進行測試,對於一些覺得有問題的…… |
| 發言片段: 11 |
| 林委員思銘:主動測試是如何測試?也是委外嗎? |
| 發言片段: 12 |
| 余處長尚賢:沒有,我們自己有一個檢測平台,尤其在今年,我們大概都已經開發得差不多了。 |
| 發言片段: 13 |
| 林委員思銘:針對我們的本土或國際產業,尤其在資通安全上,因為他們有很多是對岸的公司,或是將技術研發、資料庫設在對岸,當進行安全疑慮審查的時候,一旦發現有疑慮時,我要請教數發部,如果你在做整個資通安全的審查時,發覺這些產品的生產是來自對岸的公司,技術研發或是系統資料庫都是設在對岸,請問你發覺這樣的產品有安全疑慮的時候,即一旦有這個疑慮的時候,你們目前作法是如何? |
| 發言片段: 14 |
| 主席:請數位部闕次長說明。 |
| 發言片段: 15 |
| 闕次長河鳴:跟委員報告,目前的作法,當一個單位被列為關鍵基礎設施,像剛剛警政署報告的,他們會先做自我的測試,然後再請第三方檢測,一旦發生任何資安事件的時候,不管是由檢調介入,或是由…… |
| 發言片段: 16 |
| 林委員思銘:次長,我現在是說,因為現在在使用中,一旦發覺有疑慮,你還要再做檢測嗎?所以若有這個疑慮,則你現在預期要做的是什麼?你是不是應該要停止使用? |
| 發言片段: 17 |
| 闕次長河鳴:關於一旦發覺有疑慮的時候,如果是我們想要知道情資的話,像資安署這邊會有一些儀器,就是說…… |
| 發言片段: 18 |
| 林委員思銘:我現在要瞭解的是你現在會怎麼做,你一直說你會重新做一些檢測,但我現在是說,你已經檢測出來有問題了、有這個疑慮了,則你的作法是要馬上停止這個產品的使用嗎? |
| 發言片段: 19 |
| 闕次長河鳴:有疑慮當然要停止使用。 |
| 發言片段: 20 |
| 林委員思銘:那你有沒有訂定相關的原則或辦法? |
| 發言片段: 21 |
| 闕次長河鳴:有。 |
| 發言片段: 22 |
| 林委員思銘:你們有沒有一個遵守的原則?而不是你現在口頭跟我說有就是有。 |
| 發言片段: 23 |
| 闕次長河鳴:請資安署說明,好不好? |
| 發言片段: 24 |
| 主席:請數位部資安署謝署長說明。 |
| 發言片段: 25 |
| 謝署長翠娟:報告委員,如果發現有疑慮的話,要立刻停止使用,就是要先離開網路,然後做蒐證,我們必須把那個病毒或是它有任何的駭侵找出來,才能夠建置它的軌跡。 |
| 發言片段: 26 |
| 林委員思銘:停止使用的相關辦法有訂定嗎? |
| 發言片段: 27 |
| 謝署長翠娟:對。 |
| 發言片段: 28 |
| 林委員思銘:我想這部分一定要做,因為歐美都這樣做,我想數發部也應該要做這方面的部署或訂定相關的原則。 |
| 發言片段: 29 |
| 謝署長翠娟:是。謝謝委員。 |
| 發言片段: 30 |
| 林委員思銘:接下來我再請問一下,就是我們國內大型電信業者違反在大陸地區從事投資或技術合作許可辦法,將客服中心業務轉由中國大陸的公司執行,我想這個就有洩漏國人個資的疑慮。根據媒體的報導,就是我們經濟部投審會副執秘曾經表示,當然這是2011年的報導,就是客服中心因不屬獨立營業項目,並非全面禁止赴陸投資的項目,所以我想請問數發部或NCC,對於客服中心能否赴陸投資設點一事,你們有沒有相關法令的限制? |
| 發言片段: 31 |
| 闕次長河鳴:監理的部分應該是NCC的業務,我沒辦法代為答復。 |
| 發言片段: 32 |
| 林委員思銘:好,請NCC答復。客服中心可以到中國大陸去投資設點嗎? |
| 發言片段: 33 |
| 主席:請通傳會射頻處陳簡任技正說明。 |
| 發言片段: 34 |
| 陳簡任技正俊安:應該是不行。 |
| 發言片段: 35 |
| 林委員思銘:電信業者的部分。 |
| 發言片段: 36 |
| 陳簡任技正俊安:相關法條我沒有很清楚,但是我覺得應該是不可以。 |
| 發言片段: 37 |
| 林委員思銘:你還不清楚啊? |
| 發言片段: 38 |
| 陳簡任技正俊安:就是精確的法條怎麼寫的我不是很清楚。 |
| 發言片段: 39 |
| 林委員思銘:那你現在的回答是不行,是嗎? |
| 發言片段: 40 |
| 陳簡任技正俊安:對。 |
| 發言片段: 41 |
| 林委員思銘:那你所提精確的法條是什麼,請趕快提供給我。 |
| 我告訴你答案好了,當然就是不行,NCC在保護個資的前提下,你有要求電信業者在臺灣客戶部分的客服中心不得到大陸設點,但是你這個要求僅針對我們電信業的客服中心,如果是電信業者以外的服務業,比如說飯店業、旅遊業,他們把080服務號碼轉接到國外或是大陸的客服中心,現在他們為了節省相關費用,即隨著電話節費裝置的發展,他們通常都會這樣做,請問你們要如何管制?包括銀行、金融服務業的客服中心,也有很多都到對岸去設置服務中心。 |
| 發言片段: 42 |
| 陳簡任技正俊安:跟委員報告,依據電信管理法,我們能管的業者只有電信事業,所以它客戶的行為我們沒有辦法了。 |
| 發言片段: 43 |
| 林委員思銘:請教數發部,針對這個問題,你們未來要如何來做管制?這個會有洩漏我們個資的問題,國人的個資可能都會被洩漏,這可能有重大的國安問題。 |
| 發言片段: 44 |
| 闕次長河鳴:這可能要回到各目的事業主管機關,比如說金融機關的管轄機關應該是金管會;如果是一般的工商團…… |
| 發言片段: 45 |
| 林委員思銘:次長這樣回答就是回到我剛才講的,你們現在各個部會都沒有橫向就相關法令有一個互相聯繫的平台,所以你剛剛講是要回到哪裡呢? |
| 發言片段: 46 |
| 闕次長河鳴:如果是工商業,應該是經濟部的權責。 |
| 發言片段: 47 |
| 林委員思銘:數發部成立了,不是也要去協助他們嗎?也要訂定統一的規範啊! |
| 發言片段: 48 |
| 闕次長河鳴:數發部的角色是協助數位轉型,而不是管轄各行各業。 |
| 發言片段: 49 |
| 林委員思銘:我想這涉及到整個國家資通安全的問題,就是我們各行各業把他們的客服中心設到中國大陸對岸去,然後對我們所有臺灣的個資來說,這就有洩漏的疑慮啦!難道數發部不用去告訴各個部會,包含國安局?比如說蘋果的手機客服中心,也是到大陸去設點,即我們打客服電話給蘋果,整個就是由大陸的客服中心在做服務,所以這都可能會洩漏國人的個資,對此,你們要如何防範?你先回答我。 |
| 發言片段: 50 |
| 闕次長河鳴:跟委員報告,數位發展部跟資通安全署是國家資通安全會報的幕僚機關,委員現在問的這個層級其實是跨到不同的部會跟不同的業務,即我們是幕僚機關,所以這個問題是資通安全會報的問題,資通安全會報的召集人是行政院副院長及國安會諮詢委員,我們則是僅就…… |
| 發言片段: 51 |
| 林委員思銘:那我提的這個問題,你現在回去後是不是要馬上跟行政院來反映?有這個問題啊!你們難道都沒有查到嗎?你們都不瞭解嗎? |
| 發言片段: 52 |
| 闕次長河鳴:我們可以呈報到資通安全會報,因為我們是幕僚機關。 |
| 發言片段: 53 |
| 林委員思銘:這個要馬上來做,真的,這是很嚴重的國安問題。以上,謝謝。 |
| 發言片段: 54 |
| 主席:謝謝。在請下一位陳歐珀委員質詢之前,我說明一下,NCC有夠誇張,派一個簡任技正備詢,要怎麼詢問?對不對?譬如剛剛召委就問到你了。NCC下次不要太誇張,派個簡任技正來,真的是藐視司法及法制委員會,莫名其妙! |
| 接著請陳委員歐珀發言。 |
公報詮釋資料
| page_end | 290 |
|---|---|
| meet_id | 委員會-10-6-36-9 |
| speakers | ["林思銘","曾銘宗","陳玉珍","黃世杰","游毓蘭","陳以信","陳歐珀","陳椒華","江啟臣","劉世芳","洪孟楷","劉建國","江永昌","邱志偉","周春米","鄭運鵬","邱臣遠"] |
| page_start | 235 |
| meetingDate | ["2022-10-24"] |
| gazette_id | 1119601 |
| agenda_lcidc_ids | ["1119601_00006"] |
| meet_name | 立法院第10屆第6會期司法及法制委員會第9次全體委員會議紀錄 |
| content | 邀請國家安全會議、數位發展部、國家通訊傳播委員會、國家安全局、國防部參謀本部通信電子 資訊參謀次長室、資通電軍指揮部、法務部調查局、內政部警政署率所屬單位主管列席就「面對 歐美各國陸續頒布禁止使用或限制採購大陸資通訊及科技產品,此類產品對我國國家安全危害為 何?國安會及相關國安單位是否於年度預算中制定計畫針對各類國際情勢演變進行相關評估作業 並採取因應對策」進行專題報告,並備質詢 |
| agenda_id | 1119601_00005 |