公報發言紀錄
發言片段
lineno: 378
發言片段: 0 |
---|
邱委員顯智:(10時8分)主任好。我看到財政部今天的報告,針對電子發票整合服務平台登入系統出現資安缺失,我先請教缺失在哪裡? |
發言片段: 1 |
主席:請財政部財資中心張主任說明。 |
發言片段: 2 |
張主任文熙:委員好。預設弱密碼的設定,同時使用者並沒有按時修改密碼。 |
發言片段: 3 |
邱委員顯智:這是什麼意思? |
發言片段: 4 |
張主任文熙:第一個、我們過去在機制設計上的缺失,沒有想到與時俱進…… |
發言片段: 5 |
邱委員顯智:不是啦!這個報告總共才3頁,字體還這麼大,完全看不出來你到底懂不懂這個缺失是什麼,其實是民眾來向我們辦公室陳情之後,我們告訴財政部…… |
發言片段: 6 |
張主任文熙:是,謝謝。 |
發言片段: 7 |
邱委員顯智:他怎麼說的?一句話就講完了,就是你發送給大家的密碼都是一樣的。 |
發言片段: 8 |
張主任文熙:是。 |
發言片段: 9 |
邱委員顯智:發送給唐部長、發送給主任、發送給我、發送給召委的每一組密碼都是一樣的,你的問題在這裡,所以我就可以拿著這個密碼登入系統內所有人的帳戶,一個人可以看1萬家,問題在這裡,主任,這樣對嗎? |
發言片段: 10 |
張主任文熙:是,但是我們原來並沒有告訴別人密碼是這樣的狀況,另外…… |
發言片段: 11 |
邱委員顯智:不是嘛!主任,現在問題是不應該把所有人的密碼都設一樣的,讓他們可以去登入別人的。 |
發言片段: 12 |
張主任文熙:了解,我們已經做…… |
發言片段: 13 |
邱委員顯智:我現在的問題是你的報告裡面完全沒有提到,第一個、要解決的就是缺失嘛!交委會排這個題目的目的就是釐清這個缺失是什麼,但是你們連缺失都寫不清楚。我想請教…… |
發言片段: 14 |
張主任文熙:我們在處理方式這邊有說明…… |
發言片段: 15 |
邱委員顯智:第1頁的背景說明你說預設密碼為弱密碼,且未強制變更即可登入,有指出我剛剛講的那個問題,即你發送給人家的密碼都是一樣的嗎?沒有耶!第二個、問題在哪裡就應該解決問題,你的報告裡面寥寥3頁,字體還這麼大,完全沒有指出3個問題,第一個、資安檢核體制到底出什麼問題,為什麼會造成這樣的危機?像剛剛李昆澤委員也有講,立法院的系統不會有這個問題,其他機關不會有這個問題,你的系統為什麼會出現這個問題?你要回答的是這個問題。第二個、當這個體制出了問題,民眾跟委員辦公室陳情,我們把它轉給財政部之後,為什麼你可以從5月11日一直處理到5月16日才有所謂的第二因子?為什麼花了將近一週才完整?這是你要在報告裡面解釋的。第三個、其實我們最重視的是未來資安的檢核體制、危機應變體制要怎麼改進,從這裡也完全看不出來。我想請教部長,你是不是認為財政部的資安稽核機制出了問題? |
發言片段: 16 |
主席:請數位部唐部長說明。 |
發言片段: 17 |
唐部長鳳:我想這個可能要由資安署做細部回答,不過我先講一下,任何不是使用工商憑證這一類強的登入系統都可能出現類似的狀況,所以我們今年的一個重點就是全面體檢、巡檢,確保像這樣子的弱因子能夠用第二個甚至第三個強的因子,透過所謂的零信任,這樣即使出現剛剛講的弱密碼沒有更改的情況,它也會被第二或第三道門擋住。 |
發言片段: 18 |
邱委員顯智:好,那我想請教,部長這樣講,主任,這個平台的資安稽核流程是什麼?要經過哪些人去稽核? |
發言片段: 19 |
張主任文熙:我們有內部的稽核委員跟外部的稽核成員,我們自己另外還有一個資安科成立稽核小組,做定期的稽核跟這次的專案稽核。我們在報告裡面寫發送統一密碼其實就是預設密碼,我們在文字上寫得不好,再請委員見諒。 |
發言片段: 20 |
邱委員顯智:主任,你有一些稽核人員,要經過一些人稽核,那為什麼沒有發現這個漏洞? |
發言片段: 21 |
張主任文熙:報告委員,密碼的部分在使用者這一端,通常在程式方面,過去沒有…… |
發言片段: 22 |
邱委員顯智:不是啦!現在就是發放給每一位都是一樣的,這很明顯是一個漏洞,其他機關可能也不會出現這個問題,你要說明為什麼出現這個漏洞啊!否則未來是不是也會一而再,再而三發生呢? |
發言片段: 23 |
張主任文熙:報告委員,這個漏洞是原來在機制設計上的缺失,我們修改之後有全面清查所有系統,目前其他系統沒有類似的狀況。當時發票的部分,因為不是一般人使用的,而且是營利事業為了申報營業稅才會使用,並不是經常性使用,大部分的機關都是兩個月才會去看一次,所以他們對變更密碼有很多意見。時間會修改得比較長是因為他們兩個月才看一次,剛好這個事件發生的時間是在營業稅申報的期間,很多業者都有反映這個部分可以暫緩…… |
發言片段: 24 |
邱委員顯智:所以你現在就是有信心告訴大家說這個錯誤已經修正了嗎?還是要…… |
發言片段: 25 |
張主任文熙:目前這個系統的部分我們已經修改完畢…… |
發言片段: 26 |
邱委員顯智:因為從你的報告是完全看不出來的。第二個問題非常簡單,5月10日發生,你5月11日做了什麼?就是把新登入的預設密碼增強,對不對? |
發言片段: 27 |
張主任文熙:是。 |
發言片段: 28 |
邱委員顯智:你在5月11日做了這個,5月12日的時候以電子郵件通知使用預設密碼之營利事業變更密碼,到5月13日時你才要求登入後強制變更密碼,對不對?但是這個過程處理到現在,本來的密碼都沒有變,如果我要再去登入別人的,直到5月13日還是可以。我們也是因為民眾來跟我們反映,他的密碼還是可以登入別人的,我們才又告訴財政部,部長瞭解我的意思嗎? |
發言片段: 29 |
唐部長鳳:瞭解,因為整個過程我也有參與。 |
發言片段: 30 |
邱委員顯智:是啊!你可以看到它到5月16日的流程,我要講的是到5月16日的時候才做出要求,我們已經跟你講了,你才說要輸入第二因子始得變更預設密碼,才把這個擋住,讓這些都拿到一樣密碼的人不會去登入別人的。主任,這個處理過程到底有沒有問題?為什麼一個事情可以處理到一週,在5月16日才把這個漏洞堵住? |
發言片段: 31 |
張主任文熙:報告委員,剛才也有說明最主要的原因,因為剛好是13日、14日、15日,而15日是營業稅申報的最後一天,營利事業申報的部分有很多不是自己處理,都是委託記帳士、代理人申報,他們覺得這個變更對作業上的影響太大…… |
發言片段: 32 |
邱委員顯智:主任,這個理由我覺得大家很難接受,已經發生這個漏洞了,5月16日所做的事情應該是5月11日就要做的。部長…… |
發言片段: 33 |
張主任文熙:我們有同步通知這些業者,請他們儘量配合,因為系統比較舊,我們也需要…… |
發言片段: 34 |
邱委員顯智:不是,這是危機的因應,都已經發生問題了,還要人家一而再,再而三來反映,你才知道別人的密碼在登入期間還可以登入,這非常離譜耶!部長,是不是財政部的危機應變機制出了問題?為什麼沒辦法一步到位? |
發言片段: 35 |
唐部長鳳:是,TWCERT/CC第一時間就在財政部的邀請之下實際跟我通報,讓那位朋友跟財政部直接聯繫,所以那位朋友跟他身邊的白帽駭客從頭到尾大概都知道財政部準備怎樣修改,只是因為營業稅申報的關係,所以延後上版,這確實在溝通上有可以講得更清楚的地方。 |
發言片段: 36 |
邱委員顯智:是啊!部長,我覺得這是牛步化的程度,因為你也知道這樣的資安外洩或其他狀況,時間是非常寶貴的。這個事情應該要澈底檢討,至少在這份報告裡面完全看不出來,側重點應該是未來到底要如何改善。 |
我最後的訴求是請財政部會同數位部資安署,於一個月內就本事件重新提出一份調查、處理跟檢討報告,發生這樣的事情,報告才3頁,這完全沒辦法接受。報告裡面應該包含我剛剛提到的,這個缺失為什麼沒有在資安稽核過程中被發現?為什麼不會被發現?你說你有稽核,但是為什麼都不會被發現?第二個是發現之後,假設下次有這樣的狀況,你的緊急應變處理過程是什麼?不可能跟這次一樣,又搞到一個禮拜之後才把漏洞補起來。第三個是未來如何強化資安檢核跟緊急事件應變機制?最後一點應該是數位部的責任,他山之石,可以攻錯,這個事件的檢討及改善項目如何推展到其他的公務機關,避免其他公務機關有類似的狀況? |
發言片段: 37 |
唐部長鳳:是,這也是為什麼我們今天請財政部在全國資安長會議中把這個案子作為教案分享。委員提出在一個月之內,由我們兩個單位一起做這樣的書面報告應該沒問題。 |
發言片段: 38 |
邱委員顯智:謝謝部長。再來是關於蝦皮,蝦皮有兩件事情請教部長,一個是蝦皮名列112年第一季高風險賣場第一名,刑事局接到781個案件,什麼時候要依照個資法對蝦皮開罰? |
發言片段: 39 |
唐部長鳳:請產業署跟您說明。 |
發言片段: 40 |
主席:請數位部產業署林副署長說明。 |
發言片段: 41 |
林副署長俊秀:跟委員報告,5月8日有進行行政檢查,我們給…… |
發言片段: 42 |
邱委員顯智:5月8日? |
發言片段: 43 |
林副署長俊秀:是,我們請蝦皮補充六大項,包括安控執行紀錄、稽核軌跡、查核紀錄、資料庫結構等等,有六大項。我們也有請刑事警察局跟165一起稽核,並限期請它補這些資料。我們…… |
發言片段: 44 |
邱委員顯智:你什麼時候要做決定?這不可能是永遠都調查不完、永遠都沒辦法結案的案件,對不對?已經這麼久的一段時間了。 |
發言片段: 45 |
林副署長俊秀:是,我們在這個月底前會做決定。 |
發言片段: 46 |
邱委員顯智:這個月底前會做決定? |
發言片段: 47 |
林副署長俊秀:是。 |
發言片段: 48 |
邱委員顯智:好。第二個,經民連揭露蝦皮的服務條款,部長看它的服務條款,其中說不保證、您個人應該承擔全部相關風險等等,把所有的資安風險都推給消費者。其實在零售業等網路交易定型化契約應記載及不得記載事項第13點有系統安全的規定,提到「企業經營者應確保其與消費者交易之電腦系統具有符合一般可合理期待之安全性。」請問部長,蝦皮的規定全部都推給消費者,難道沒有違反零售業等網路交易定型化契約應記載及不得記載事項的相關規定嗎? |
發言片段: 49 |
唐部長鳳:您指的是「您承認在法律容許的最大限度內,……」這一段,是不是跟…… |
發言片段: 50 |
邱委員顯智:沒錯,就是右邊這邊。 |
發言片段: 51 |
唐部長鳳:跟消保相關的認定,這個產業署也有處理,請產業署向您說明。 |
發言片段: 52 |
邱委員顯智:它說您個人應承擔全部的相關風險,等於是它完全不用負責零售業等網路交易定型化契約應記載及不得記載事項裡面,「電腦系統具有符合一般可合理期待之安全性」的規定。 |
發言片段: 53 |
林副署長俊秀:跟委員報告,我們有發文請蝦皮說明,蝦皮的說明回來之後,我們正在找相關的個資保護專家來review它的說明是否合理。 |
發言片段: 54 |
邱委員顯智:我一直聽到的是你讓它說明、陳述意見,這當然是行政程序法的規定,但到最後你總得做一個決定,對不對?因為你是權責機關嘛!我自己看這個東西是一目即知,當然程序上沒問題、陳述意見沒問題,但你是一個權責機關,你應該是全臺灣對這個領域最專業的一個機關,如果你沒辦法做決定,也沒有其他機關可以做決定了,這是公權力行使的問題。 |
發言片段: 55 |
唐部長鳳:這是我們的責任,當然沒有問題。 |
發言片段: 56 |
邱委員顯智:是啊!這是部長、署長及數位部同仁責無旁貸的責任。針對這部分,請數位部在二週內就蝦皮違反個資法以及我剛剛提到的定型化契約處理情形提出一份書面報告給本委員會。 |
發言片段: 57 |
唐部長鳳:應該沒有問題。 |
發言片段: 58 |
邱委員顯智:好,謝謝部長、謝謝主席。 |
發言片段: 59 |
主席:請何委員欣純發言。 |
公報詮釋資料
page_end | 264 |
---|---|
meet_id | 委員會-10-7-23-11 |
speakers | ["陳雪生","邱臣遠","林楚茵","陳椒華","林俊憲","陳素月","蔡培慧","李昆澤","邱顯智","何欣純","許智傑","游毓蘭","鍾佳濱","江啟臣","洪申翰","李貴敏","王鴻薇","劉櫂豪","魯明哲","鄭天財Sra Kacaw","高嘉瑜","王婉諭","張其祿","趙正宇","洪孟楷","陳歐珀","吳欣盈","傅崐萁"] |
page_start | 189 |
meetingDate | ["2023-05-22"] |
gazette_id | 1125902 |
agenda_lcidc_ids | ["1125902_00005"] |
meet_name | 立法院第10屆第7會期交通委員會第11次全體委員會議紀錄 |
content | 一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失,如何就全 國政府部門各系統進行資安系統盤點及改善」進行專題報告,並備質詢;二、審查委員賴品妤等 36人擬具「資通安全管理法部分條文修正草案」案;三、繼續審查委員陳以信等16人擬具「資通 安全管理法第二條條文修正草案」案;四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及 第七條條文修正草案」案;五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文 修正草案」案 |
agenda_id | 1125902_00004 |