公報發言紀錄
發言片段
lineno: 436
| 發言片段: 0 |
|---|
| 李委員昆澤:(10時19分)部長你好。整個數位部其實責任非常重大,它有三大工作跟責任,第一,資安的防護;第二,相關協助數位產業的發展;第三,培育相關的數位人才。當然最重要的資安防護工作是社會大眾所期待、注意的一個重要工作議題,資安防護分成兩個項目,第一個項目是相關的電信設施以及資安設備的強化,第二個項目是這一些資安聯防機制的建立跟強化。但是我們來看看對於資安的安全疑慮,根據國家資通安全研究院發布的2022年第4季資通安全技術報告,我們看到各機關通報的資安事件由輕到重可以分成4級,第4級是最嚴重的,目前當然還沒有這樣的狀況,但是第2、3級是增加的趨勢,這是讓我們擔憂的。以資通安全通報事件的類型來看,非法入侵占了54.79%,其中將近三成沒有辦法確認事件的成因,如果不知道事件的成因,就沒有辦法去做相關的處理,而且日後的改善機制也沒有辦法建立,請部長說明一下。 |
| 發言片段: 1 |
| 主席:請數位部唐部長說明。 |
| 發言片段: 2 |
| 唐部長鳳:委員好。確實如此,因為有通報就表示有發現,像委員剛剛提到的,如果沒有投資到這些,有留紀錄、稽核的話,連發現都發現不了。所以通報稍微增多,有的時候是表示發現的能力增強了,這是第一點。 |
| 第二點,無法確認事件成因的一大原因,就像剛剛講到的,它在一開始登入的時候說不定只看帳號、密碼,沒有額外地去要求使用特定的設備或者還要留指紋驗證等等,所以就沒有辦法去找到足跡,留下這個足跡就是所謂的零信任的工作,這是我們現在的重點工作。 |
| 發言片段: 3 |
| 李委員昆澤:當然,數發部是希望能推動整個零信任、重複驗證的機制。部長,無法查明原因的事件有三成,會造成政府機關在當下沒有辦法隨機應變,應變的機制是一個問題。第二,針對這種不知成因事件的處理,我們沒有辦法作為改善的借鏡。請部長說明一下。 |
| 發言片段: 4 |
| 唐部長鳳:確實完全如委員說的,如果不確定原因的話,唯一的方法就是把服務斷線、不提供服務,但是從全民的角度來看,這個服務沒有辦法使用了,會造成生活上的困擾。所以在有攻擊的情況下,不但能快速恢復、而且知道如何更強,這就是所謂的韌性,這是我們的工作。 |
| 發言片段: 5 |
| 李委員昆澤:部長,我們還是要加強問題的釐清及攻防的演練。根據資通安全技術報告,第2級及第3級的安全疑慮是增加的,有這樣的趨勢。我們看到1月份的資通安全網路月報,事前聯防監控所發現的資安威脅情資已經多達4萬7,000件,數發部應該加強協助各機關釐清資安事件的成因,避免無法確認事件成因的情況,我們在軟硬體的障礙必須要處理,請說明一下。 |
| 發言片段: 6 |
| 唐部長鳳:我完全同意,資安署及資安院專門有一個韌性的巡檢,就好像巡迴檢查服務,就是對於特別重要的、而且之前好像不太容易確認事件成因的機關,實際上派專家去跟他們的資安人員及資訊人員一起工作,告訴他們如何確認成因。就好像我們產業署是綜合電商的主管機關,也會對發生比較多這種無法確認成因的詐騙事件等等的確認上去做重要指導,所以私部門與公部門都有在做。 |
| 發言片段: 7 |
| 李委員昆澤:部長,確認成因是非常重要的。而且我們要求政府機關要加強這種資安的攻防演練,提高各機關的資安意識,目前真的是很欠缺,請說明一下。 |
| 發言片段: 8 |
| 唐部長鳳:是,謝謝。確實,我們從有資通安全管理法以來,就一直有做包含社交工程的模擬演練、攻防演練等等,我們現在更進一步到紅隊測試的程度,就是我們事先不會告訴對方要如何演練,但是無論如何用任何方式就造成了漏洞,在被攻擊之前…… |
| 發言片段: 9 |
| 李委員昆澤:對,不只是政府機關,我們跟民間企業的合作也要加強這種藍隊及紅隊的培養。 |
| 發言片段: 10 |
| 唐部長鳳:對,沒錯。 |
| 發言片段: 11 |
| 李委員昆澤:而且要透過這種資訊的交流,進一步養成紫隊,目前的進度及計畫是如何? |
| 發言片段: 12 |
| 唐部長鳳:藍隊也非常地重要,就像委員講的,藍隊不是自己一個人防,而是跟所有的藍隊一起聯防,包含情資的分享等等。所以我們的資安院在設立的時候就有一個藍隊的模擬演練平台,只要進了這個系統,歷史上紅隊真正打進來那個過程就會重播,來考驗你如何反應。 |
| 發言片段: 13 |
| 李委員昆澤:部長,你的責任非常重大,除了政府機關資安的防護、聯防之外,民眾個資外洩頻傳的問題也非常讓我們擔憂。我們看到相關的案例,不管是格上租車、微風集團、健保署、iRent、華航等等,這種個資的外洩都會造成民眾很大的權益受損及日後的困擾,外洩的原因當然是沒有依照個資法及其他規範採取基本的安全措施,或者資料系統遭到入侵,甚至是內部人員的不當作為。數位部對於民間企業的個資外洩,有沒有什麼更具體的防範協助呢? |
| 發言片段: 14 |
| 唐部長鳳:就像剛剛有提到的,iRent的通報是國外的白帽、就是對我們比較好的研究員告訴我,然後我再告訴TWCERT/CC,格上也是一樣的狀況。只要有足夠多的藍隊及白帽駭客聯防,可以搶在真正的攻擊者之前發現並通報的話,就比較安全,這是第一點。 |
| 第二個部分是實際各個主管機關去進行行政調查的時候,資安院的人會一起去,而且如果它沒有改善的話,就會連續處罰。以前的狀況是主管機關去調查,對方說有改善了,那就簽了有改善,但是現在我們會去要求必須有具體的改善,而且要證明有沒有改善,這會讓這些企業發現真的必須投資到個資的強化。 |
| 發言片段: 15 |
| 李委員昆澤:好。部長,我之前也一再提醒你,對於全民普發6,000元現金線上申請的部分,我們擔憂這種詐騙的狀況一再地發生,對民眾的權益衝擊非常大。其實在1月份的時候就已經發生以數發部的名義發送行動電話簡訊、騙取民眾個資的事件,讓民眾以為點進去就可以申請6,000元現金。現在各社群網路也發生以假網址騙取相關資訊的事件,數發部目前也沒有辦法去做更有效的宣導及防範嗎? |
| 發言片段: 16 |
| 唐部長鳳:其實就像之前我回答前面幾位委員所說的,如果只看那個網頁的內容,就像那兩張照片一樣,跟真的網頁是分不出來的,所以不能看那個內容,要看那個網址、地址,只要網址的地址是「gov.tw/」開頭的,才是我們的政府網站,像委員提到之前有在流傳的「.com」之類的,就不是我們政府的網站。「6000.gov.tw」很好記,所有其他的都不是這個網站。 |
| 發言片段: 17 |
| 李委員昆澤:你用這樣的講法,一般在座的人也許聽得懂,但是社會大眾對於你這麼複雜的說法是沒有辦法去瞭解的。第一個,你們要跟警政署合作,對這些詐騙的來源必須要做防範,對民眾的宣導也是數位部必須做好的,你不能期待每個民眾都能夠分辨相關的網址哪一個是安全的、哪一個是不安全的。 |
| 發言片段: 18 |
| 唐部長鳳:當然,所以我們才需要去跟包含手機的作業系統公司、甚至電信公司合作,確保在那邊就能夠去攔阻,或至少跳出警示。 |
| 發言片段: 19 |
| 李委員昆澤:部長,你現在講的,在日後普發現金線上申請、有相關狀況發生的時候,就能得到印證。 |
| 發言片段: 20 |
| 唐部長鳳:沒錯。 |
| 發言片段: 21 |
| 李委員昆澤:希望你要做好相關的防範措施及作為。 |
| 發言片段: 22 |
| 唐部長鳳:我會盡全力,謝謝。 |
| 發言片段: 23 |
| 主席:請陳委員雪生發言。 |
公報詮釋資料
| page_end | 268 |
|---|---|
| meet_id | 委員會-10-7-23-2 |
| speakers | ["許智傑","洪孟楷","陳椒華","陳歐珀","邱顯智","何欣純","林俊憲","李昆澤","陳雪生","魯明哲","賴士葆","游毓蘭","邱臣遠","鄭天財Sra Kacaw","賴香伶","張其祿","趙正宇","傅崐萁","劉櫂豪","陳素月","吳欣盈","林楚茵","劉建國"] |
| page_start | 213 |
| meetingDate | ["2023-03-08"] |
| gazette_id | 1122501 |
| agenda_lcidc_ids | ["1122501_00005"] |
| meet_name | 立法院第10屆第7會期交通委員會第2次全體委員會議紀錄 |
| content | 邀請數位發展部部長唐鳳列席報告業務概況,並備質詢 |
| agenda_id | 1122501_00004 |