公報發言紀錄

發言片段

lineno: 137

發言片段: 0
陳委員椒華:(9時18分)部長好。我剛剛看你的報告非常簡單,結論就是數發部請財政部加強督導。請問在電子發票平台資安漏洞這個部分,你們查核的時候有發現這個問題嗎?
發言片段: 1
主席:請數位部唐部長說明。
發言片段: 2
唐部長鳳:委員好。謝謝委員讓我有機會說明。我剛剛的報告有說請財資中心在今天的資安長會議裡面把這個當作類似一個教案讓大家知道,我們之後也會把它納入我們的稽核項目裡面。
發言片段: 3
陳委員椒華:就是以後才要稽核,目前數發部或行政院之前的資通會報沒有針對財政部負責的這個業務稽核是不是?
發言片段: 4
唐部長鳳:我們之前的稽核項目裡面比較沒有特別去看密碼。其實它有密碼管理等等的制度,但是像這個是特定的樣態,就是所有人的預設密碼在某些條件下是相同的,這個沒有納進去。
發言片段: 5
陳委員椒華:目前看起來就是沒有稽核嘛!
發言片段: 6
唐部長鳳:有稽核,但是以前不是這個態樣。
發言片段: 7
陳委員椒華:就是沒有稽核到這個樣態。請問數發部可以預見還沒有稽核到的到底還有多少樣態嗎?
發言片段: 8
唐部長鳳:當然就是以密碼來講……
發言片段: 9
陳委員椒華:是出事了才知道嗎?
發言片段: 10
唐部長鳳:以密碼來講,其實今年跟明年我們就是全面推行所謂的零信任,就是不要再只用密碼認證,所以所有單純用密碼的單因素樣態應該都可以對治。
發言片段: 11
陳委員椒華:我們接續發生這麼多資安漏洞,像電子發票平台,還有公務機關2016年到現在8起重大個資外洩,還有1,789間上市櫃公司超過7%都有用預設密碼,所以至少有130家上市櫃公司受到影響,國營事業還有監督法人也都出現同樣的問題。數發部身為統籌機關,現在看起來好像是被動在解決資安問題而已,部長怎麼負責任交代說除了今天這種樣態之外,還有哪些樣態,不只是財政部,還有其他部會的資安稽核還沒有找出該稽核而沒有稽核的項目?
發言片段: 12
唐部長鳳:謝謝委員,這是很好的問題。我想我們的工作不是只是事後的應變跟處置,我們也要在事前建立一些共通的元件,有點像防火建材的認證,並且透過巡檢的方式預先知道哪些元件……
發言片段: 13
陳委員椒華:那本席問你,我們最近發現現在很多醫院都用中國華大基因的機台,有很多國人做健康檢查的檢體或是檢驗的檢體,你們要怎麼防堵才不會讓這些基因庫的資料都流到中國去,要怎麼防堵外洩?目前主管機關跟數發部要怎麼主動做好防堵作業?
發言片段: 14
唐部長鳳:謝謝委員的詢問。當然在我們公務機關關鍵基礎設施裡面,危害產品不管硬體、軟體還是服務,原則上是禁止使用,如果沒有特別的替代品,而且可以確保它是在不聯網的情況下操作的話,可以經過資安長簽核使用,所以您提到的……
發言片段: 15
陳委員椒華:我是針對這個案子,部長你要回答我,中國華大基因現在有非常多機台在各個醫院,甚至研究單位、公家單位都有,關於怎麼去查緝,你可以給本席一個書面報告嗎?
發言片段: 16
唐部長鳳:我們當然會去了解,因為這是由衛福部本身盤點,我們會在技術上給予支援,舉例來說,剛剛講……
發言片段: 17
陳委員椒華:我們不要等很多人的基因資料都被人家拿走了才改善,而且現在在修再生醫療法,其實未來的基因檢測資料甚至跟移植、做細胞治療都有相關性,請數發部重視這個問題,好不好?
發言片段: 18
唐部長鳳:當然,謝謝委員提醒。
發言片段: 19
陳委員椒華:再來我們知道資安就是國安,我們也希望不要變成一個口號。有一位網友在誠品書店買了「阿共打來怎麼辦」一書,沒想到隨後阿共就真的打電話來了!該名網友表示他自稱是誠品回訪的詐騙電話,甚至頻頻強調中國武統是必然等統戰言論。數發部產業署16日早上有會同資安院、資策會跟內政部警政署組成一個行政調查小組,前往誠品進行實地行政訪查。部長,這個個案涉及後段的認知作戰問題、個資的外洩途徑及相關情形,數發部釐清了嗎?
發言片段: 20
唐部長鳳:謝謝委員讓我們有機會說明。我們現在就是按照重大矚目程序,3天之內調查,10天之內報告,14天之內做出處分,這個處分也會對外公開。至於你提到行政調查的部分,我們是不是請產業署的同仁簡單說明?
發言片段: 21
主席:請數位部產業署林副署長說明。
發言片段: 22
林副署長俊秀:跟委員報告,我們會遵照剛剛部長講的,按照重大矚目案件的程序,10天內會出報告,14天內行政院會開會說明。
發言片段: 23
陳委員椒華:有這樣的認知作戰,包括這樣的電話。我們知道刑事警察局公布2022年高風險賣場的排名,依序是博客來網路書店、旋轉拍賣、蝦皮、誠品及廸卡儂等,對於疑似個資外洩的電商,刑事局有會同數發部進行資安訪談,提供相關的資源。到今天為止,數發部有接到刑事局函送嗎?到底有幾家綜合性的電商?又做了幾家行政訪查?裁罰是不是還是掛零?有裁罰嗎?
發言片段: 24
唐部長鳳:本人請產業署代為說明。
發言片段: 25
林副署長俊秀:目前沒有。
發言片段: 26
陳委員椒華:部長,我們現在都只是停留在行政查察,然後也不罰,像旋轉拍賣、蝦皮在刑事局一直是榜上有名,顯見改善了還是有很大的資安漏洞,請問到底這要如何處理呢?
發言片段: 27
唐部長鳳:因為新版的個資法修法,大院已經三讀通過,所以之後我們不會只是查察,之後若沒有改善才裁罰;事實上如果我們確定是它所洩漏的就會先罰,然後再進行改善的要求。
發言片段: 28
陳委員椒華:好。剛剛第一個問題忘了請財政部回答,請你回答一下目前財政部稽核的情況,到底為什麼會有這樣的漏洞?共稽核了幾次?為什麼都沒有發現?
發言片段: 29
主席:請財政部財資中心張主任說明。
發言片段: 30
張主任文熙:報告委員,我們分成定期稽核跟專案稽核,平常本來的稽核是每半年就會有一次定期稽核,但是密碼的部分,平常我們都會要求使用者變更它的密碼,但是並沒有稽核它是不是真的有變更。另外,這個範圍主要是發生在營利事業單位中,沒有使用工商憑證的使用單位,其實實際上有80%的營利事業者是使用工商憑證,當時為了鼓勵大家使用電子發票,對於不願意申請工商憑證者,我們會請他到國稅局去開立帳號、密碼,是這部分的業者才會發生設立帳號密碼的問題,以上說明。
發言片段: 31
陳委員椒華:主任,這個樣態其實已經滿嚴重的,財政部針對這些還有沒有稽核到的樣態,是不是可以趕快密集的進行查察?
發言片段: 32
張主任文熙:報告委員,目前我們已經有全面清查,針對常用弱密碼的樣態,我們也會進行檢核,也會強制他們進行變更。
發言片段: 33
陳委員椒華:部長,再請問一下,先前質詢次長的時候,他曾回答說,如果有個資外洩的問題,第一時間通報數位部督導的財團法人網路資訊中心(TWNIC),是這樣嗎?目前個資的督導,第一時間是要去通知這個財團法人、單位嗎?
發言片段: 34
唐部長鳳:這個是電腦網路危機處理暨協調中心(TWCERT/CC),這支計畫目前確實是在TWNIC底下,我們正在規劃,看看是不是明年整併到資安院裡面。
發言片段: 35
陳委員椒華:我之前好像有質詢過部長,部長的回答是資安院,那現在是改由這二個財團法人來做嗎?
發言片段: 36
唐部長鳳:不是!不是!您剛剛提到的是發生的時候來釐清它是不是,但一旦釐清是,要去行政調查就是資安院了。
發言片段: 37
陳委員椒華:他們現在收到多少件的通報?
發言片段: 38
唐部長鳳:TWCERT/CC收到的通報不一定都跟個資有關,我們現在實際上收到的重大矚目案件大概有十幾件。
發言片段: 39
陳委員椒華:就是個資的部分有十幾件,執行的部分是由誰來執行?
發言片段: 40
唐部長鳳:就是由主管機關,因為目前還沒有獨立的個資會,當然委員知道新的個資法裡面已經提到會有獨立的個資會,但是在還沒有的情況下,像之前微風案實體的部分就是經濟部來負責;格上案的部分就是交通部;無店面零售就是我們產業署。
發言片段: 41
陳委員椒華:部長,數發部成立後有很多業務是由資安署負責,資安署就是原來的行政院資安會報,對不對?
發言片段: 42
唐部長鳳:對,它是幫忙公部門跟關鍵基礎設施。
發言片段: 43
陳委員椒華:可是資安外洩問題這麼嚴重,而且各個部會資安洩漏的樣態非常多,你有把握、你有信心能夠做得好嗎?現在本席真的也對你沒信心。
發言片段: 44
唐部長鳳:我想事後的應處當然必須要持續做,但是最重要的是事前的巡檢,就像剛剛講到的,如果之前巡檢的時候就發現……
發言片段: 45
陳委員椒華:但樣態沒有被發現的話,你要如何巡檢?現在的問題是搞不好資通署還有數發部都搞不清楚這些樣態是什麼,都是各部發生問題才跟你們求救,而且你們也還沒有稽核完全啊!
發言片段: 46
唐部長鳳:我想數位部成立之後,跟之前最大的不同,就是我們從今年開始有主動巡檢,我們稱其為韌性巡檢,特別是在技術上,就這些共同元件去巡檢,而不是像之前比較大規模的稽核,比較是包含管理員……
發言片段: 47
陳委員椒華:部長,你們從掛牌到現在幾個月了?
發言片段: 48
唐部長鳳:8月到現在已經超過半年了。
發言片段: 49
陳委員椒華:希望不只是數發部,還有個各中央主管機關,還有他們轄下的各目的事業主管機關,都能夠把所有資安稽核的樣態都找出來,可以嗎?
發言片段: 50
唐部長鳳:當然……
發言片段: 51
陳委員椒華:你有信心多久可以做出來?
發言片段: 52
唐部長鳳:我們這個巡檢……
發言片段: 53
陳委員椒華:就是找出該稽核的樣態,需要多少時間?
發言片段: 54
唐部長鳳:這個韌性巡檢到今年年底會統括出最基本的樣態,然後在明年會大規模執行。
發言片段: 55
陳委員椒華:要到年底嗎?還要那麼久嗎?3個月可以嗎?
發言片段: 56
唐部長鳳:我想我們的韌性巡檢有自己要走的節奏,但是我們現在正在集結一個樣態。
發言片段: 57
陳委員椒華:我現在講的是樣態,不是要你完成全部的巡檢。請提供樣態,好嗎?
發言片段: 58
唐部長鳳:我們三個月內給委員一個書面報告,就是從現在算起三個月蒐集到的樣態,但不包含全部就是,就是到年底前要稽核的部分。
發言片段: 59
陳委員椒華:數發部也可以去要求各個目的事業主管機關,將他們自己該做的、沒有查出來的樣態找出來。
發言片段: 60
唐部長鳳:有,我們今天在資安長會議也會這樣要求。謝謝。
發言片段: 61
陳委員椒華:好,謝謝。
發言片段: 62
主席:請林委員俊憲發言。

公報詮釋資料

page_end 264
meet_id 委員會-10-7-23-11
speakers ["陳雪生","邱臣遠","林楚茵","陳椒華","林俊憲","陳素月","蔡培慧","李昆澤","邱顯智","何欣純","許智傑","游毓蘭","鍾佳濱","江啟臣","洪申翰","李貴敏","王鴻薇","劉櫂豪","魯明哲","鄭天財Sra Kacaw","高嘉瑜","王婉諭","張其祿","趙正宇","洪孟楷","陳歐珀","吳欣盈","傅崐萁"]
page_start 189
meetingDate ["2023-05-22"]
gazette_id 1125902
agenda_lcidc_ids ["1125902_00005"]
meet_name 立法院第10屆第7會期交通委員會第11次全體委員會議紀錄
content 一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失,如何就全 國政府部門各系統進行資安系統盤點及改善」進行專題報告,並備質詢;二、審查委員賴品妤等 36人擬具「資通安全管理法部分條文修正草案」案;三、繼續審查委員陳以信等16人擬具「資通 安全管理法第二條條文修正草案」案;四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及 第七條條文修正草案」案;五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文 修正草案」案
agenda_id 1125902_00004