公報發言紀錄

發言片段

lineno: 609

發言片段: 0
鍾委員佳濱:(11時10分)主席、在場的委員先進、列席的政府機關首長官員、在場的工作夥伴、媒體記者女士先生。部長好、主任好。我認為便民服務驗證安全要提升,而且政府簡訊要提供信賴機制。今天大家在問,財政部電子發票平臺有登入的漏洞,時序上大概5月9日白帽駭客示警,接下來台灣電腦網路危機處理暨協調中心就把這個漏洞告知財政部,財政部又回答說已告知並要求使用者更改密碼,然後財政部強制使用密碼登入的營利事業變更密碼。是不是這樣?就部長所知沒有錯嘛?
發言片段: 1
主席:請數位部唐部長說明。
發言片段: 2
唐部長鳳:委員好。沒錯。
發言片段: 3
鍾委員佳濱:張主任,是不是這樣子?
發言片段: 4
主席:請財政部財資中心張主任說明。
發言片段: 5
張主任文熙:是。
發言片段: 6
鍾委員佳濱:剛好、很巧,5月11日那天我也問了一個問題,部長還記得嗎?那時候我跟你請教,我覺得目前網路上的安全大概類似我們去旅館一樣,有個實體的鑰匙、有個對號的鑰匙,現在實體證件編號大量外洩,造成民眾社會性的編號、對號鎖的號碼外流,所以我要求要趕快去檢證各種登入的驗證機制,在政府服務上要換鎖,避免個資流失,部長還記得嗎?
發言片段: 7
唐部長鳳:有,就是鑰匙遺失的話,應該要換鎖。
發言片段: 8
鍾委員佳濱:或者對號鎖的號碼被別人知道了怎麼辦,是不是這樣?
發言片段: 9
唐部長鳳:是,要換鎖,當然掉在地上撿起來就好,這是委員上次教我的。
發言片段: 10
鍾委員佳濱:是,你還記得。所以現在我們來看看財政部怎麼換鎖,在示警前,你們的帳號跟用戶的統一編號一樣,承包商的預設密碼就是固定8位通用密碼,且密碼變更時,他沒有強制一定要換,主任,是不是這樣子?
發言片段: 11
張主任文熙:是。
發言片段: 12
鍾委員佳濱:示警之後,你們現在帳號怎麼弄?你們現在預設密碼改成12位英數字隨機密碼,並且首次登入強制要求輸入第二因子來變更密碼。請問財政部,這個漏洞存在多久了?
發言片段: 13
張主任文熙:報告委員,從這個系統100年開始上線、啟用……
發言片段: 14
鍾委員佳濱:所以從開始啟用一直到現在,這是承包商的問題嘛?這樣的設計是承包商問題嘛?它就是那樣設計啊!部長,你覺得這個承包商是不是太沒有資安意識了?
發言片段: 15
唐部長鳳:在當時不管工商憑證或者後來的自然人憑證,從委員的簡報畫面上可以看到,其實它並不是沒有更強的登入方式,只是它並沒有強制用這個方法。
發言片段: 16
鍾委員佳濱:強調一下,可能很多在場人員不瞭解工商憑證,工商憑證就是類似自然人憑證,它不是一個對號鎖的號碼,而是一個你手中的房卡,掉了需要撿起來。所以我們看一下,那時候我問過,要求財政部換鑰匙的兩個問題,如果仍然是帳號式密碼的對號鎖,仍然可能被暴力破解,對不對?所以要怎麼樣來加強?可以用認證強度比較強的工商憑證。部長,如果這樣,你會不會覺得應該把工商憑證這種實體的方式拿進來?
發言片段: 17
唐部長鳳:確實是,對於小規模的營業人,他可能沒有工商憑證的,至少也應該要用類似像TWID,就是用它個人申請的SIM卡來認證。
發言片段: 18
鍾委員佳濱:很好!張主任,聽到沒有,專家在這裡。
發言片段: 19
張主任文熙:是。
發言片段: 20
鍾委員佳濱:有聽到嘛!電子發票系統最早是由X通公司在2006年建置完成的,你說過後來有多次改版,但是你剛剛講從它一開始使用之後,就是它的設計問題,一開始就是它的設計造成問題,不是後面改版的承商把它改了嘛?
發言片段: 21
張主任文熙:報告委員,其實一開始是先使用工商憑證設計,後來是因為使用人次太低,就有聽到有人要求要增加方便的方式,所以才會……
發言片段: 22
鍾委員佳濱:瞭解,所以本來是有設計用工商憑證的,只是後來為了方便大家使用,把它的便利度提高了,但是安全度就下降了。
部長,另外一個問題,數發部自己不用gov的短網址,你們現在有一個東西,你們的MyData平臺要做問卷調查,這個是用gov的短網址嗎?
發言片段: 23
唐部長鳳:這個我們已經有請承辦單位要改善……
發言片段: 24
鍾委員佳濱:它叫做什麼?是簡報上的這個公司,對不對?
發言片段: 25
唐部長鳳:對。
發言片段: 26
鍾委員佳濱:它可以用短網址嗎?
發言片段: 27
唐部長鳳:應該這樣講,我們目前gov.tw結尾的只能去縮我們政府的網址,但是其實在數位部裡面有另外一個機制,可以給外面像google表單等等一個編號是我們數位部的網址,所以還是可以用短網址。
發言片段: 28
鍾委員佳濱:它還是可以用?
發言片段: 29
唐部長鳳:對,只是它可能不知道這件事。
發言片段: 30
鍾委員佳濱:它不知道,那數發部要告訴全部的政府機關,因為民眾,像我只會認gov.tw,是不是這樣?
發言片段: 31
唐部長鳳:對,這非常好。
發言片段: 32
鍾委員佳濱:如果看到不是gov.tw結尾的,我就覺得這個有問題。所以現在就是啦!沒有用gov短網址的政府訊息怎麼信任?
發言片段: 33
唐部長鳳:我們之後會有一個共用的發簡訊的號碼,你也可以認那個發簡訊的號碼。
發言片段: 34
鍾委員佳濱:所以你要跟大家強力的宣告一下,所有政府部門及政府的外包廠商,如果你現在不是使用政府的網站服務的話,你不能使用gov短網址,要用你們的服務嘛?
發言片段: 35
唐部長鳳:對。
發言片段: 36
鍾委員佳濱:那就會出現gov短網址,這樣民眾才會知道這是政府的嘛!
發言片段: 37
唐部長鳳:對,我們的縮網址叫s.moda.gov.tw,它還是會以gov.tw結尾。
發言片段: 38
鍾委員佳濱:好,這個要告訴所有的政府部門跟政府的承包商。
最後,我的訴求是,第一個、請財政部檢討你們所有網路的便民服務系統之驗證方式安全性,譬如說過去的工商憑證可能比較安全,你們要思考,並於二個月提出檢討報告,可以嗎?
發言片段: 39
張主任文熙:可以。
發言片段: 40
鍾委員佳濱:其次,像這樣的承商所承攬的其他系統有沒有類似的漏洞?請數發部針對出問題的承商,一個月內來清點改善並提出報告,可以嗎?
發言片段: 41
唐部長鳳:是。
發言片段: 42
鍾委員佳濱:請數發部就目前政府各部門各種網路便民的驗證方式,幫他們盤一下、看一下,並提供一些建議,二個月內提出盤點報告,讓我們知道哪些部會始終不聽你們的勸,可以嗎?
發言片段: 43
唐部長鳳:這些我們都可以來做,我們把簡報上的第二點、第三點併成一個,然後二個月內提出報告。
發言片段: 44
鍾委員佳濱:二個月可以。最後如同你講的,政府部門有非政府網站服務的問卷調查等等,有沒有辦法套用gov.tw的情形,你已經有提出解方了,對不對?請把這個解方、這個信賴方案提供給民眾來辨識,好嗎?我不是在做宣傳。
發言片段: 45
唐部長鳳:好,這個我們也會併同之後我們共用簡訊的平臺一起來宣導。
發言片段: 46
鍾委員佳濱:我們不只是信賴唐鳳,也信賴政府,也信賴臺灣,謝謝。
發言片段: 47
唐部長鳳:謝謝。
發言片段: 48
主席:你的信賴方案就是好好做事情的意思嘛!
請江委員啟臣發言。

公報詮釋資料

page_end 264
meet_id 委員會-10-7-23-11
speakers ["陳雪生","邱臣遠","林楚茵","陳椒華","林俊憲","陳素月","蔡培慧","李昆澤","邱顯智","何欣純","許智傑","游毓蘭","鍾佳濱","江啟臣","洪申翰","李貴敏","王鴻薇","劉櫂豪","魯明哲","鄭天財Sra Kacaw","高嘉瑜","王婉諭","張其祿","趙正宇","洪孟楷","陳歐珀","吳欣盈","傅崐萁"]
page_start 189
meetingDate ["2023-05-22"]
gazette_id 1125902
agenda_lcidc_ids ["1125902_00005"]
meet_name 立法院第10屆第7會期交通委員會第11次全體委員會議紀錄
content 一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失,如何就全 國政府部門各系統進行資安系統盤點及改善」進行專題報告,並備質詢;二、審查委員賴品妤等 36人擬具「資通安全管理法部分條文修正草案」案;三、繼續審查委員陳以信等16人擬具「資通 安全管理法第二條條文修正草案」案;四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及 第七條條文修正草案」案;五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文 修正草案」案
agenda_id 1125902_00004