公報發言紀錄
發言片段
lineno: 609
發言片段: 0 |
---|
鍾委員佳濱:(11時10分)主席、在場的委員先進、列席的政府機關首長官員、在場的工作夥伴、媒體記者女士先生。部長好、主任好。我認為便民服務驗證安全要提升,而且政府簡訊要提供信賴機制。今天大家在問,財政部電子發票平臺有登入的漏洞,時序上大概5月9日白帽駭客示警,接下來台灣電腦網路危機處理暨協調中心就把這個漏洞告知財政部,財政部又回答說已告知並要求使用者更改密碼,然後財政部強制使用密碼登入的營利事業變更密碼。是不是這樣?就部長所知沒有錯嘛? |
發言片段: 1 |
主席:請數位部唐部長說明。 |
發言片段: 2 |
唐部長鳳:委員好。沒錯。 |
發言片段: 3 |
鍾委員佳濱:張主任,是不是這樣子? |
發言片段: 4 |
主席:請財政部財資中心張主任說明。 |
發言片段: 5 |
張主任文熙:是。 |
發言片段: 6 |
鍾委員佳濱:剛好、很巧,5月11日那天我也問了一個問題,部長還記得嗎?那時候我跟你請教,我覺得目前網路上的安全大概類似我們去旅館一樣,有個實體的鑰匙、有個對號的鑰匙,現在實體證件編號大量外洩,造成民眾社會性的編號、對號鎖的號碼外流,所以我要求要趕快去檢證各種登入的驗證機制,在政府服務上要換鎖,避免個資流失,部長還記得嗎? |
發言片段: 7 |
唐部長鳳:有,就是鑰匙遺失的話,應該要換鎖。 |
發言片段: 8 |
鍾委員佳濱:或者對號鎖的號碼被別人知道了怎麼辦,是不是這樣? |
發言片段: 9 |
唐部長鳳:是,要換鎖,當然掉在地上撿起來就好,這是委員上次教我的。 |
發言片段: 10 |
鍾委員佳濱:是,你還記得。所以現在我們來看看財政部怎麼換鎖,在示警前,你們的帳號跟用戶的統一編號一樣,承包商的預設密碼就是固定8位通用密碼,且密碼變更時,他沒有強制一定要換,主任,是不是這樣子? |
發言片段: 11 |
張主任文熙:是。 |
發言片段: 12 |
鍾委員佳濱:示警之後,你們現在帳號怎麼弄?你們現在預設密碼改成12位英數字隨機密碼,並且首次登入強制要求輸入第二因子來變更密碼。請問財政部,這個漏洞存在多久了? |
發言片段: 13 |
張主任文熙:報告委員,從這個系統100年開始上線、啟用…… |
發言片段: 14 |
鍾委員佳濱:所以從開始啟用一直到現在,這是承包商的問題嘛?這樣的設計是承包商問題嘛?它就是那樣設計啊!部長,你覺得這個承包商是不是太沒有資安意識了? |
發言片段: 15 |
唐部長鳳:在當時不管工商憑證或者後來的自然人憑證,從委員的簡報畫面上可以看到,其實它並不是沒有更強的登入方式,只是它並沒有強制用這個方法。 |
發言片段: 16 |
鍾委員佳濱:強調一下,可能很多在場人員不瞭解工商憑證,工商憑證就是類似自然人憑證,它不是一個對號鎖的號碼,而是一個你手中的房卡,掉了需要撿起來。所以我們看一下,那時候我問過,要求財政部換鑰匙的兩個問題,如果仍然是帳號式密碼的對號鎖,仍然可能被暴力破解,對不對?所以要怎麼樣來加強?可以用認證強度比較強的工商憑證。部長,如果這樣,你會不會覺得應該把工商憑證這種實體的方式拿進來? |
發言片段: 17 |
唐部長鳳:確實是,對於小規模的營業人,他可能沒有工商憑證的,至少也應該要用類似像TWID,就是用它個人申請的SIM卡來認證。 |
發言片段: 18 |
鍾委員佳濱:很好!張主任,聽到沒有,專家在這裡。 |
發言片段: 19 |
張主任文熙:是。 |
發言片段: 20 |
鍾委員佳濱:有聽到嘛!電子發票系統最早是由X通公司在2006年建置完成的,你說過後來有多次改版,但是你剛剛講從它一開始使用之後,就是它的設計問題,一開始就是它的設計造成問題,不是後面改版的承商把它改了嘛? |
發言片段: 21 |
張主任文熙:報告委員,其實一開始是先使用工商憑證設計,後來是因為使用人次太低,就有聽到有人要求要增加方便的方式,所以才會…… |
發言片段: 22 |
鍾委員佳濱:瞭解,所以本來是有設計用工商憑證的,只是後來為了方便大家使用,把它的便利度提高了,但是安全度就下降了。 |
部長,另外一個問題,數發部自己不用gov的短網址,你們現在有一個東西,你們的MyData平臺要做問卷調查,這個是用gov的短網址嗎? |
發言片段: 23 |
唐部長鳳:這個我們已經有請承辦單位要改善…… |
發言片段: 24 |
鍾委員佳濱:它叫做什麼?是簡報上的這個公司,對不對? |
發言片段: 25 |
唐部長鳳:對。 |
發言片段: 26 |
鍾委員佳濱:它可以用短網址嗎? |
發言片段: 27 |
唐部長鳳:應該這樣講,我們目前gov.tw結尾的只能去縮我們政府的網址,但是其實在數位部裡面有另外一個機制,可以給外面像google表單等等一個編號是我們數位部的網址,所以還是可以用短網址。 |
發言片段: 28 |
鍾委員佳濱:它還是可以用? |
發言片段: 29 |
唐部長鳳:對,只是它可能不知道這件事。 |
發言片段: 30 |
鍾委員佳濱:它不知道,那數發部要告訴全部的政府機關,因為民眾,像我只會認gov.tw,是不是這樣? |
發言片段: 31 |
唐部長鳳:對,這非常好。 |
發言片段: 32 |
鍾委員佳濱:如果看到不是gov.tw結尾的,我就覺得這個有問題。所以現在就是啦!沒有用gov短網址的政府訊息怎麼信任? |
發言片段: 33 |
唐部長鳳:我們之後會有一個共用的發簡訊的號碼,你也可以認那個發簡訊的號碼。 |
發言片段: 34 |
鍾委員佳濱:所以你要跟大家強力的宣告一下,所有政府部門及政府的外包廠商,如果你現在不是使用政府的網站服務的話,你不能使用gov短網址,要用你們的服務嘛? |
發言片段: 35 |
唐部長鳳:對。 |
發言片段: 36 |
鍾委員佳濱:那就會出現gov短網址,這樣民眾才會知道這是政府的嘛! |
發言片段: 37 |
唐部長鳳:對,我們的縮網址叫s.moda.gov.tw,它還是會以gov.tw結尾。 |
發言片段: 38 |
鍾委員佳濱:好,這個要告訴所有的政府部門跟政府的承包商。 |
最後,我的訴求是,第一個、請財政部檢討你們所有網路的便民服務系統之驗證方式安全性,譬如說過去的工商憑證可能比較安全,你們要思考,並於二個月提出檢討報告,可以嗎? |
發言片段: 39 |
張主任文熙:可以。 |
發言片段: 40 |
鍾委員佳濱:其次,像這樣的承商所承攬的其他系統有沒有類似的漏洞?請數發部針對出問題的承商,一個月內來清點改善並提出報告,可以嗎? |
發言片段: 41 |
唐部長鳳:是。 |
發言片段: 42 |
鍾委員佳濱:請數發部就目前政府各部門各種網路便民的驗證方式,幫他們盤一下、看一下,並提供一些建議,二個月內提出盤點報告,讓我們知道哪些部會始終不聽你們的勸,可以嗎? |
發言片段: 43 |
唐部長鳳:這些我們都可以來做,我們把簡報上的第二點、第三點併成一個,然後二個月內提出報告。 |
發言片段: 44 |
鍾委員佳濱:二個月可以。最後如同你講的,政府部門有非政府網站服務的問卷調查等等,有沒有辦法套用gov.tw的情形,你已經有提出解方了,對不對?請把這個解方、這個信賴方案提供給民眾來辨識,好嗎?我不是在做宣傳。 |
發言片段: 45 |
唐部長鳳:好,這個我們也會併同之後我們共用簡訊的平臺一起來宣導。 |
發言片段: 46 |
鍾委員佳濱:我們不只是信賴唐鳳,也信賴政府,也信賴臺灣,謝謝。 |
發言片段: 47 |
唐部長鳳:謝謝。 |
發言片段: 48 |
主席:你的信賴方案就是好好做事情的意思嘛! |
請江委員啟臣發言。 |
公報詮釋資料
page_end | 264 |
---|---|
meet_id | 委員會-10-7-23-11 |
speakers | ["陳雪生","邱臣遠","林楚茵","陳椒華","林俊憲","陳素月","蔡培慧","李昆澤","邱顯智","何欣純","許智傑","游毓蘭","鍾佳濱","江啟臣","洪申翰","李貴敏","王鴻薇","劉櫂豪","魯明哲","鄭天財Sra Kacaw","高嘉瑜","王婉諭","張其祿","趙正宇","洪孟楷","陳歐珀","吳欣盈","傅崐萁"] |
page_start | 189 |
meetingDate | ["2023-05-22"] |
gazette_id | 1125902 |
agenda_lcidc_ids | ["1125902_00005"] |
meet_name | 立法院第10屆第7會期交通委員會第11次全體委員會議紀錄 |
content | 一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失,如何就全 國政府部門各系統進行資安系統盤點及改善」進行專題報告,並備質詢;二、審查委員賴品妤等 36人擬具「資通安全管理法部分條文修正草案」案;三、繼續審查委員陳以信等16人擬具「資通 安全管理法第二條條文修正草案」案;四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及 第七條條文修正草案」案;五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文 修正草案」案 |
agenda_id | 1125902_00004 |