公報發言紀錄
發言片段
lineno: 321
| 發言片段: 0 |
|---|
| 李委員昆澤:(9時54分)會叫我李昆澤的都是我當年工廠的同事,這是很親切的叫法。唐部長好,這是本會期數位部第五次到交通委員會備詢,其實不只是我,其他交通委員會的成員對數位部的質詢大部分也都集中在資安、個資、防詐等相關議題上,因為資安是大家都很關切的議題,如果資料外洩就會形成詐騙的重要破口。 |
| 5(本)月有白帽駭客通報關於電子發票整合服務平台出現了相關的問題,剛才其他委員也質詢過。財政部給所有的公司同一組預設密碼,部分企業並沒有去更改這組密碼,所以只用統編和政府所提供的預設密碼就可以瀏覽公司的資料,其中包括國營事業、130家上市櫃公司、中華郵政、臺鐵以及中科院等行政法人。針對這個部分我要先請教財政部張主任,針對缺乏資安系統以及資安意識的狀況,財政部要怎麼處理? |
| 發言片段: 1 |
| 主席:請財政部財資中心張主任說明。 |
| 發言片段: 2 |
| 張主任文熙:跟委員報告,一開始是因為…… |
| 發言片段: 3 |
| 李委員昆澤:你們都沒有察覺嗎? |
| 發言片段: 4 |
| 張主任文熙:因為公司有兩種狀況,80%的公司是使用工商憑證,他們就沒有預設密碼的問題;20%的…… |
| 發言片段: 5 |
| 李委員昆澤:立法院的電腦系統雖有給預設密碼,但一登入就要更改這組密碼,而且還要定期強制再次更改密碼,財政部對此完全沒有資安意識。現在的做法首先是以12個數字亂碼作為預設密碼,其次要在登入的時候強制更改密碼,另外就是平時也要更改密碼。 |
| 發言片段: 6 |
| 張主任文熙:針對上述問題,我們現在都已經修改了,只是12年前在設計的時候,預期營利事業登入時會自行修改密碼…… |
| 發言片段: 7 |
| 李委員昆澤:12年!12年是實施國教的時間,怎麼還教不會? |
| 發言片段: 8 |
| 張主任文熙:所以我們立刻改善。 |
| 發言片段: 9 |
| 李委員昆澤:12年前你們設計,經過12年,到今年5月才有白帽駭客通報有這樣的狀況,整個資安系統和資安意識怎麼會欠缺到這樣的狀況? |
| 另外,針對民眾的部分,今年5月誠品網路書店也有民眾在買書以後,接到自稱是書局的回訪電話,強調統戰的相關言論,這是民眾個人資料的外洩,也是這家公司欠缺對相關資料的保護。當然,數位部、資安院及警方有去實地調查,預計5月26日會提出相關的報告對不對? |
| 發言片段: 10 |
| 主席:請數位部唐部長說明。 |
| 發言片段: 11 |
| 唐部長鳳:委員好。對,我們這次主要除了釐清到底是在哪個點發生個人資料外洩之外,更重要的是必須在找到根本原因之後輔導他們去改善。好比說,如果是下游出現資料外洩,不論是物流還是金流,我們都要導入所謂的「隱碼技術」,讓下游根本不需收到如此detail,包含聯絡電話等等的資料。 |
| 發言片段: 12 |
| 李委員昆澤:我要提醒部長和主任,你們今天不是球評,也不是來說這個球打得怎麼樣,你們都是主管機關。 |
| 發言片段: 13 |
| 唐部長鳳:當然,我們要負責。 |
| 發言片段: 14 |
| 李委員昆澤:你們對於公務部門和非公務部門的資安系統和資安意識都必須負起督促的重要責任。現在公私部門遭遇到的資安問題層出不窮,我們可以看到近年來數位部自己提供的資料,中央和地方政府的資安事件在2020年有677件,2021年有733件,2022年則暴增到806件。資安業者Check Point發布了最新的研究報告,指出全球每週平均遭受攻擊的次數,我們臺灣是亞太地區的1.8倍,更是全球的2.6倍,請問數位部有沒有什麼因應的措施?部長要跟社會大眾講,數位部成立後由唐鳳當部長,接下來公私部門遭受資安攻擊的件數會下降,還是不會下降但會和緩地上升,不會出現暴增的情形?請讓民眾知道未來的趨勢。 |
| 發言片段: 15 |
| 唐部長鳳:好的,我們知道過去兩年,亦即2021年和2022年,甚至包含去年8月Pelosi議長訪臺時的事件,境外對我們的攻擊力道確實是大幅地上升了,在境外攻擊那麼嚴重的情況下,機關勇於通報資安事件絕對是件好事,我們也鼓勵大家通報,不會鼓勵大家不通報。 |
| 發言片段: 16 |
| 李委員昆澤:對。 |
| 發言片段: 17 |
| 唐部長鳳:我們主要是看通報後,我們多快能找到根本的原因,以及之後不會發生事情。 |
| 發言片段: 18 |
| 李委員昆澤:通報是重要的,這也和交通方面不論是飛安還是鐵道安全的自願報告系統具有同樣的重要性。 |
| 發言片段: 19 |
| 唐部長鳳:沒錯。 |
| 發言片段: 20 |
| 李委員昆澤:通報的次數增加得愈來愈多,除了自願通報之外,也代表有很多資安攻擊,我們本來就是全球遭受資安攻擊的重心。 |
| 發言片段: 21 |
| 唐部長鳳:對,這就表示我們察覺的能力提升了。數位部成立之後有個最大的差別,就是我們會主動在事前去巡檢,不要等別人來攻擊和通報,我們要先發現有哪些漏洞可能會發生。對於白帽駭客守望相助型的通報案例,我覺得非常好,有一些白帽駭客願意加入資安院從事巡檢的工作。 |
| 發言片段: 22 |
| 李委員昆澤:針對財政部的電子發票整合服務平台,平時應該也有做稽核對不對? |
| 發言片段: 23 |
| 唐部長鳳:是,我們平時當然有按這個方法稽核。 |
| 發言片段: 24 |
| 李委員昆澤:你們有發現這個問題嗎? |
| 發言片段: 25 |
| 唐部長鳳:我們在之前的稽核中並沒發現每一個使用者預設的密碼有一些沒有變更的問題。 |
| 發言片段: 26 |
| 李委員昆澤:那就表示你們不夠積極,數位部成立後,財政部面對這麼重大的個資防護缺口,你們在稽核的時候卻沒有查到,請問你們是在稽核什麼?請教張主任,你們到底有沒有稽核? |
| 發言片段: 27 |
| 張主任文熙:報告委員,有稽核。這個系統是沒有個資的,因為它是存證發票,營利事業會開立發票,需要…… |
| 發言片段: 28 |
| 李委員昆澤:這樣不算個資嗎? |
| 發言片段: 29 |
| 張主任文熙:個人的…… |
| 發言片段: 30 |
| 李委員昆澤:開立發票的相關資料能讓外人一覽無遺…… |
| 發言片段: 31 |
| 張主任文熙:它沒有個人的…… |
| 發言片段: 32 |
| 李委員昆澤:這個不算重要的資料嗎? |
| 發言片段: 33 |
| 張主任文熙:它是重要的資料,但是沒有…… |
| 發言片段: 34 |
| 李委員昆澤:當然它是公司的資料,而不是個人的資料。 |
| 發言片段: 35 |
| 張主任文熙:這裡有分兩部分,一部分是公開展示的資料…… |
| 發言片段: 36 |
| 李委員昆澤:數位部有沒有定期稽核? |
| 發言片段: 37 |
| 唐部長鳳:有的,今年新的情況不但納入了稽核的樣態,也會主動巡查單一密碼的登入狀況。 |
| 發言片段: 38 |
| 李委員昆澤:好,你們有稽核到財政部出現這樣的狀況嗎? |
| 發言片段: 39 |
| 唐部長鳳:今年相關的韌性巡檢還沒有開始,也還沒有稽核到財政部,只是民間的朋友基於守望相助就主動通報了。 |
| 發言片段: 40 |
| 李委員昆澤:你們現在察覺後有沒有要求財政部更改這些系統? |
| 發言片段: 41 |
| 唐部長鳳:當然,而且我們也請財政部做成教案之類的案例,在今天的資安長會議上跟大家分享。 |
| 發言片段: 42 |
| 李委員昆澤:相較於公部門,非公務部門其實也有相當多的問題,資通安全管理法的規範範圍其實就是公務機關加上特定的非公務機關,例如關鍵基礎設施的提供者、公營事業及政府捐助的財團法人等,但我們對非公務機關目前的規劃方式其實也是滿擔憂的,因為目前好像只能透過中央目的事業主管機關就其主管產業的資安提出相關的指引,例如衛福部針對醫療院所訂定的資安防護參考指引,或金管會對金融領域訂定資安內部控制及指引等相關規範,至於其他的則非常欠缺,對此請部長說明一下。 |
| 發言片段: 43 |
| 唐部長鳳:因為資安的要求比較高,除了您剛剛關心的個資洩漏之外,還包含了服務不能中斷等。對於您剛才提到醫療院所或金融領域,除了個資當然要守住之外…… |
| 發言片段: 44 |
| 李委員昆澤:所以對非公務機關目前沒有統一的資安規範嘛! |
| 發言片段: 45 |
| 唐部長鳳:我們有統一的資安規範,包含服務不能中斷等等,這些是由中央目的事業主管機關指定哪些比較屬於關鍵基礎設施這種具有重要性的,就需要受這麼高的規範,其他的是受個資法的規範。 |
| 發言片段: 46 |
| 李委員昆澤:我知道,現在當然是由目的主管機關針對個別產業訂定相關資安指引規範。我現在講的是對整體非公務部門有沒有做一個統一的資安規範? |
| 發言片段: 47 |
| 唐部長鳳:資安署所訂定的規範是最基本的,不管在上面再加多少防護參考指引,資安署所訂定的指引是無論如何都必須遵守的,那是法遵的一部分。 |
| 發言片段: 48 |
| 李委員昆澤:部長,我們現在要落實資安法的子法,對於非公務機關的資安意識要強化;另外對於非公務機關的相關資安法令規範要逐步落實,最後讓你簡單說明一下。 |
| 發言片段: 49 |
| 唐部長鳳:是,謝謝委員提醒。我們現在進行資通安全管理法修法討論時,確實如同委員所說,包含地方政府或其他事業主管機關,要透過怎麼樣的盤點並且培植他們的意識,甚至要不要到地方政府稽核等等,我們都有陸續討論,希望能夠儘快收斂到一個共識,在今年年底前整理出院版。 |
| 發言片段: 50 |
| 李委員昆澤:部長,我們現在討論到公務部門跟非公務部門遭受的資安攻擊,當然自願通報是一個非常重要、顯現問題的關鍵,不過重點還是在於我們對於這些通報的處理程序跟結果、效率如何。 |
| 發言片段: 51 |
| 唐部長鳳:沒錯,這個才是最重要的。 |
| 發言片段: 52 |
| 李委員昆澤:以及日後會發生這樣的狀況與否,這些都是數位部要加強督促的。 |
| 發言片段: 53 |
| 唐部長鳳:完全同意,謝謝委員提醒。 |
| 發言片段: 54 |
| 主席:謝謝李昆澤委員。昆澤委員跟我從25年以前國民大會代表同事到現在,他的幼年非常困苦,說真的,個人也很努力,在此特別說明一下,我們是好朋友,雖然黨派不同。剛才他所提數發部的事情,我想隨著資安事件不斷增加,數發部成立以後責任更形重大,您跟NCC之間不能再互推皮球,您是主管機關,好不好?不管直線的指揮系統及橫向的聯繫,你都要負起責任。部長,你們單位的危機感應該要逐漸上升,這一點要拜託大家,好不好?尤其總統對你非常信賴,你又是國內非常火紅的專家,加油,好不好? |
| 請邱委員顯智發言。 |
公報詮釋資料
| page_end | 264 |
|---|---|
| meet_id | 委員會-10-7-23-11 |
| speakers | ["陳雪生","邱臣遠","林楚茵","陳椒華","林俊憲","陳素月","蔡培慧","李昆澤","邱顯智","何欣純","許智傑","游毓蘭","鍾佳濱","江啟臣","洪申翰","李貴敏","王鴻薇","劉櫂豪","魯明哲","鄭天財Sra Kacaw","高嘉瑜","王婉諭","張其祿","趙正宇","洪孟楷","陳歐珀","吳欣盈","傅崐萁"] |
| page_start | 189 |
| meetingDate | ["2023-05-22"] |
| gazette_id | 1125902 |
| agenda_lcidc_ids | ["1125902_00005"] |
| meet_name | 立法院第10屆第7會期交通委員會第11次全體委員會議紀錄 |
| content | 一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失,如何就全 國政府部門各系統進行資安系統盤點及改善」進行專題報告,並備質詢;二、審查委員賴品妤等 36人擬具「資通安全管理法部分條文修正草案」案;三、繼續審查委員陳以信等16人擬具「資通 安全管理法第二條條文修正草案」案;四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及 第七條條文修正草案」案;五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文 修正草案」案 |
| agenda_id | 1125902_00004 |