公報發言紀錄
發言片段
lineno: 673
| 發言片段: 0 |
|---|
| 林委員淑芬:(11時16分)我想繼續就教於副主委。剛才有委員提到管制機關的位階與被管制機關的位階不對等,老實說,位階對不對等不是問題,因為事實上是能源至上、能源主管機關至上。我以前在教育及文化委員會也待很久,據我這十幾年來的觀察,我們對原能會有很多的不滿意,其中最大的不滿意其實是不管它的位階再高、再低,因為能源至上,所以對於核能電廠的事故一直站在大事化小、小事化無的立場,不是像在野黨講的,好像原能會、核研所等等多麼地專業、多麼地盡職,事實上並不是。 |
| 舉一個早期一點的例子來講,電漿焚化爐的低階放射性廢棄物一直都是原能會主管的,你們還研發一個電漿焚化爐要去處理低階放射性廢棄物,使用執照是你們發的,結果一熱試車的時候就爆炸了。電漿火炬的焚化爐並不是世界潮流,但是你們硬要做,結果做了以後,我看到的新聞是,你們從2017年竟然技轉給事業廢棄物處理中心的業者,所以你們曾經做過、犯過的錯其實是不少的。 |
| 此外,在核研所裡面存放那麼多低階放射性廢棄物在水質、水源保護區也一直為人詬病。不要講中高階的廢棄物,就是低階的放射性廢棄物也已經沒辦法管了,像過去還沒想到要做電漿焚化爐以前都是減容中心,減容中心就直接在核電廠廠區裡面直接燒低階放射性的廢棄物,事實上當時的原能會(不是你們)能夠有什麼作為?能做的就是這麼有限,老實說我們都知道,能做的很有限。 |
| 不過我今天質詢不是在講舊事,雖然那些是舊事,但我相信到現在的文化也沒有改變,有變的是幸好核一、核二廠老舊的都要停車了,不過我們還有核三。所以我們要再一次地提醒副主委,我要跟你談的是,2015年中立及非營利的國際事務顧問公司Chatham House釋出了「民用核能設施的網路安全:了解它的風險」的研究報告,研究報告裡面一直講整個核電廠向來注重實體的防護,再加上引進數位系統的腳步落後其他產業,所以核電廠或是政府不太認為網路攻擊會發生在核電廠裡面,過去都是這樣,直到2019年印度的核電公司證實,他們的坦米爾那都省(Tamil Nadu)核電廠曾被植入惡意軟體,一名員工基於遠端管理需求,而將電腦連接到網際網路,導致惡意的軟體駭入系統,而且當時調查指出這可能是北韓政府的Lazarus Group駭客團體所散布的DTrack木馬程式,他也曾經用這個程式去竊取過印度境內銀行提款機的數據,雖然他這次的網路攻擊沒有針對核電廠主控系統造成影響,但是大家就開始想這個事情好像茲事體大。我現在要講的是我們自己國防部的國防安全研究院有一個報告,談的是核能發電廠遭網路攻擊的風險和途徑,你有沒有看過? |
| 發言片段: 1 |
| 主席:請原能會劉副主任委員說明。 |
| 發言片段: 2 |
| 劉副主任委員文忠:事實上我們是要求核電廠的資訊系統是獨立的、不聯外的、跟外網沒有互通的…… |
| 發言片段: 3 |
| 林委員淑芬:你認為獨立、不聯外,就不會發生事情嗎?你現在的講法就跟2015年原能會主委蔡春鴻被問到全球核電廠對於大規模的網路安全緊急狀態缺乏準備,可能會被駭客入侵攻擊核電廠時,你跟蔡春鴻講的一模一樣、跟馬政府時代講的一模一樣,他說核電廠可分為安全系統跟非安全系統,加上核一、核二、核三都使用傳統的類比系統,根本無法使用網路,不過他說行政系統無法保證不會被駭客入侵,頂多也只是非安全性的行政系統會被入侵。你現在回答跟他一模一樣,但是我要問你,你這個講法正確嗎?而且我問你的問題不是在這裡,我問你的問題是我們自己國家的國防安全研究院提出網路駭客攻擊的風險和途徑在哪裡的報告,你有沒有看過?你告訴我,你有沒有看過? |
| 發言片段: 4 |
| 劉副主任委員文忠:報告委員,我本身沒有看過。 |
| 發言片段: 5 |
| 林委員淑芬:好,所以你才會回答這一句話。 |
| 發言片段: 6 |
| 劉副主任委員文忠:不過我剛剛陳述的是事實。 |
| 發言片段: 7 |
| 林委員淑芬:敵對國家之間網攻核電廠的動機跟手法非常多元,既然你講這樣是事實,我就不客氣地再跟你講,2014年當時的馬政府行政院在進行網路攻防演練時,便鎖定了很多的設施做情境的演練,當時是以核二廠作為情境模擬的對象,時任行政院資通安全辦公室主任蕭秀琴表示,由於核二廠很老了、運作很久了,就像主委你現在講的,許多資深員工認為封閉系統、只要不對外聯網都是安全的,但是當時的行政院資通安全辦公室主任就指出許多風險不是來自於外部聯網,像是內部人員輸入的參數錯誤、人員被收買、封閉系統必須仰賴USB隨身碟作為傳輸資料時,是否有考慮到各種情境的安全?所以他說他們經過了八次的模擬和溝通,由當時具有資訊背景的副廠長帶領之下去做盤點,找出非常多潛在風險的系統作為情境模擬的題目。2015年當時他們就做情境演習了,針對核二廠進行故障時的沙盤情境推演,鎖定的情境有四個,第一個,核電廠的DEH自動控制器處理模組故障,人機介面操作電腦也遭植入病毒,人為植入病毒!第二個,內部人員蓄意竄改RCF Foxboro軟體參數,導致核電廠內再循環流量產生異常。第三個,採用微軟Windows Server的核電廠緊急應變系統ERF,在安裝系統弱點修補程式時遭到病毒感染。第四個,核二廠人員要測試操作狀況一遭病毒感染的DEH人機介面來執行指令時,不慎觸發了惡意程式。 |
| 所以他們當時模擬下來,那些核二廠的員工才發現沒有原本你以為不會有問題的這種情境、不存在完全沒有風險這種情境。所以作為核能電廠安全的主管機關,原能會最專業的副主委講出這種話,老實說,你不及格!你連國防部國家安全研究所的報告都沒看過,對於行政院已經發生過的情境模擬也不瞭解,請問核三廠通過國家級的資安攻防演練了嗎?核二廠就算了,畢竟已經停機了,當年核二廠情境演練、情境模擬的盲點還有哪些?當時雖然有一些盲點,但是那時的行政院院長表示,這種關鍵基礎設施和國家安全息息相關,很多情境攻防的演練細節不便對外透露,所以當時我們就不知道有什麼攻防的盲點存在,試問現役中的核三廠是否有一樣的盲點?有沒有改進?你們有沒有演習過?有沒有沙盤推演過?有沒有情境模擬過?改成行政院三級機關和維持現在體制都一樣,沒有變過,所以重點不是組織改造,而是核能所到底有沒有專業、願不願意專業,敢不敢把關。 |
| 發言片段: 8 |
| 主席:請原能會劉副主任委員說明。 |
| 發言片段: 9 |
| 劉副主任委員文忠:謝謝委員指教,我們的確應該要進一步檢討,我可以請我們負責資安的處長跟您報告。 |
| 發言片段: 10 |
| 林委員淑芬:副主委,你要去瞭解,因為你連過去臺灣核一、核二、核三廠發生過的事都不瞭解。2017年5月核三廠因為台電曾經被某勒索病毒攻擊,因而關閉了全廠的電腦網路,副主委知道這件事嗎?核三廠之所以關閉了全廠的電腦網路系統,因為當時全世界有一隻名叫「WannaCry」的勒索病毒,而整個台電也被勒索病毒攻擊,副主委知道這件事情嗎?2017年你在原能會了沒? |
| 發言片段: 11 |
| 劉副主任委員文忠:報告委員會,我在物管局,我請資安處的李處長說明。 |
| 發言片段: 12 |
| 林委員淑芬:處長知道2017年的這個事件嗎? |
| 發言片段: 13 |
| 主席:請原能會核技處李處長說明。 |
| 發言片段: 14 |
| 李處長綺思:報告委員,這件事我不是很瞭解。 |
| 發言片段: 15 |
| 林委員淑芬:那我先跟你講一講好了,2017年為了這隻攻擊台電的勒索病毒,台電關閉了核三廠全廠的電腦網路,你知道發生了什麼後果嗎?導致啟動變壓器跳脫、廠內用電緊急,沒有轉換由變壓器供電。沒有轉換就沒電可用,沒電久了會如何?本來是講網路的,怎麼會變成變壓器供電斷路?幸好當時有及早發現,沒有產生重大意外。你今天的回答跟2015年蔡春鴻的回答一模一樣,所以我就是要告訴你,你們是多麼地輕忽啊!說是臺灣核電廠核心為類比系統,核心設施沒有對外連線,但就算沒有對外連線,以USB連線更糟糕!因為敵對國家會收買人員,所以我才問你有沒有看過國防安全研究院的報告,對核能電廠遭網路攻擊的可能途徑是什麼?怎樣進來?風險是什麼?處長要回答一下嗎? |
| 發言片段: 16 |
| 李處長綺思:跟委員報告,委員剛才所提的都是正確的,我們現在也非常concern insider,也就是說外面可能是…… |
| 發言片段: 17 |
| 林委員淑芬:為何你們副主委都不知道? |
| 發言片段: 18 |
| 李處長綺思:可能是我沒有跟他講。 |
| 發言片段: 19 |
| 林委員淑芬:你們內部沒有討論就是你們輕忽啊! |
| 發言片段: 20 |
| 李處長綺思:以委員剛才講到的USB為例,現在同仁都必須貼上貼紙封,每個孔在哪裡都要登錄,連誰拿USB來插那個槽也要知道,這是針對insider的部分。委員講的也確實沒錯,有些系統萬一被破壞,以原能會的管制來說,我們就是要確保爐心那一塊一定要正常,所以一定要安全停機。 |
| 發言片段: 21 |
| 林委員淑芬:請問我剛剛講2017年的事件是爐心的那一塊嗎? |
| 發言片段: 22 |
| 李處長綺思:應該不是。 |
| 發言片段: 23 |
| 林委員淑芬:那這樣會不會影響到爐心的運轉? |
| 發言片段: 24 |
| 李處長綺思:可能會影響到發電。 |
| 發言片段: 25 |
| 林委員淑芬:對嘛!所以不是爐心那一塊沒問題就好,而是整個系統都會相互牽連,所以我才講你要去瞭解,第一、核能設施遭網路攻擊的風險不容忽視;第二、敵對國家之間,網攻核電廠的動機和手法非常多元,網攻核電廠有的是要刺探機密,有的是要累積網站經驗,事實上,連美國對伊朗的核設施都做過惡意軟體的網攻,美國對伊朗也網攻過啦!另外還有一種,勒索金錢也是網攻核電廠的動機,北韓就是非常的前科累累,所以網攻勒索核電廠勒索的才多呢!這個是可以紓解發動網攻國家的壓力啊! |
| 再來,最可怕的是臺灣核電廠內部人員操作不當,我們是經常發生耶!你們也經常在糾正,內部人員操作不當誘使駭客組織發起網攻,人為疏失是誘發外界網攻的催化劑…… |
| 發言片段: 26 |
| 主席:對,好。 |
| 發言片段: 27 |
| 林委員淑芬:對啦!我知道因為時間的關係,所以我就不再講得很細節啦!我要跟你講,國家安全研究院最後有提到未來的趨勢,針對核電廠的惡意軟體進化速度會越來越快,而你們到現在還認為我們類比式的系統不會被攻擊,我們沒有對外聯網不會有風險,這樣的東西才是整個核電廠網路安全最大的疑慮,從網路安全會擴散到核電廠運作的安全,獨立網路不是核電廠的安全保證,我的意思是這樣子,請你們好好的重視一下…… |
| 發言片段: 28 |
| 劉副主任委員文忠:委員,我們會再確實去檢討,把它…… |
| 發言片段: 29 |
| 林委員淑芬:我知道一路走來20、30年來原能會都沒有變,不管組織再造怎麼造,我們最擔心的就是到底有沒有真正負起這個監督者的角色和任務,謝謝! |
| 發言片段: 30 |
| 主席:副主委,等一下要答復林委員還有時間。 |
| 接下來請張廖委員萬堅發言。 |
公報詮釋資料
| page_end | 306 |
|---|---|
| meet_id | 聯席會議-10-7-36,22-1 |
| speakers | ["劉建國","曾銘宗","鄭正鈐","萬美玲","陳秀寳","鄭運鵬","賴香伶","吳怡玎","鄭麗文","吳思瑤","湯蕙禎","林思銘","林宜瑾","陳靜敏","張其祿","陳培瑜","林淑芬","張廖萬堅","范雲","江永昌","王鴻薇","陳椒華","黃國書","楊瓊瓔","吳琪銘","謝衣鳯"] |
| page_start | 123 |
| meetingDate | ["2023-04-24"] |
| gazette_id | 1124502 |
| agenda_lcidc_ids | ["1124502_00004"] |
| meet_name | 立法院第10屆第7會期司法及法制、教育及文化兩委員會第1次聯席會議紀錄 |
| content | 一、併案審查(一)行政院函請審議、(二)委員林宜瑾等20人、(三)委員黃國書等17人、(四)委員 吳思瑤等17人、(五)委員范雲等18人、(六)委員賴品妤等18人、(七)台灣民眾黨黨團及(八)委員 張廖萬堅等22人分別擬具「核能安全委員會組織法草案」案;二、併案審查 (一)行政院函請審 議、(二)委員林宜瑾等21人、(三)委員吳思瑤等17人、(四)委員范雲等18人、(五)委員賴品妤等 17人及(六)委員張廖萬堅等20人分別擬具「國家原子能科技研究院設置條例草案」案 |
| agenda_id | 1124502_00003 |