公報發言紀錄

發言片段

lineno: 440

發言片段: 0
何委員欣純:(10時23分)部長,我剛剛聽了一個早上,每次發生資安事件之後,我們在調查期間能不能把資安漏洞及時補起來?我剛剛聽到財政部電子發票整合服務平台的這件事情,我們慢了一個禮拜才解決這個資安漏洞,原因之一是怕影響營業稅的報稅,但我們的緊急應變也可以延長報稅的時間啊!第一要件是什麼?應該要把資安漏洞補起來,部長你同不同意?
發言片段: 1
主席:請數位部唐部長說明。
發言片段: 2
唐部長鳳:委員好。當然同意,所以他們第一時間有通知所有受到影響的人。
發言片段: 3
何委員欣純:只有通知啊!問題是資安系統上的漏洞沒有補起來。
發言片段: 4
唐部長鳳:對,當然應該要強制變更。
發言片段: 5
何委員欣純:我要問部長全國矚目的誠品事件,誠品連續2年名列警方的高風險賣場,今天很多委員都有提到,提到之後大家都在問,目前誠品的事情調查得如何?
發言片段: 6
唐部長鳳:對,我們現在是採同樣的作法,就是10天會寫報告,14天會做出處分,而且會讓大家知道是怎麼樣的處分。
發言片段: 7
何委員欣純:除了時間點之外,我們目前在調查期間,系統上的資安漏洞解決了嗎?問題還存在嗎?
發言片段: 8
唐部長鳳:這個是否請副署長跟您說明?
發言片段: 9
主席:請數位部產業署林副署長說明。
發言片段: 10
林副署長俊秀:我們上次到現場行政調查時有請偵九隊協助,偵九隊有要求一些Log的資料,誠品正在提供給偵九隊做進一步的分析。
發言片段: 11
何委員欣純:所以現在正在提供資料……
發言片段: 12
林副署長俊秀:我要去確認一下……
發言片段: 13
何委員欣純:意思是說在調查跟提供資料的這段時間,所謂的資安漏洞還是沒有解決?
發言片段: 14
唐部長鳳:這是兩件事,我們是個資的主管機關,但是因為誠品也有報案,所以刑事局那邊即時的聯防,包含跨國的偵查等等,是兩線在進行。
發言片段: 15
何委員欣純:所以部長我請問你的專業啊!因為我們一般人不懂啊!我們現在只關心從一般人的角度來看,我現在去誠品買書,在這個平臺或是系統上,有關資訊的安全與個資的安全有沒有受到保障?
發言片段: 16
唐部長鳳:謝謝委員給我們機會說明,我想任何人去剛剛您簡報提到民眾所通報的高風險賣場,都可能有一定程度的風險,這就是為什麼刑事局說它們是高風險賣場。我們現在主要的工作是確保我們找到原因之後根本解決這些事情。
發言片段: 17
何委員欣純:部長,我當然知道要找到根本原因、要解決事情,我現在就是在問你,現在調查的時間拖了這麼久,在這段期間,我所關心的是,如果我現在再去誠品買書,那我會不會也受到個資外洩、資訊安全、個資安全的影響?我現在要請你回答Yes or No,我們關心的是這個。在這段調查期間,所謂資安系統的漏洞到底有沒有被補足、被解決?有沒有暫停使用或怎麼樣?現在再去買書,會不會受到影響?就如同剛剛你回答的,為什麼那麼多人在關心蝦皮購物,還有很多電商平臺?因為每天有那麼多國人上網去買賣東西。問題是從數發部成立的到現在,我們所關心的是到底能為我們國人的資安把關到什麼程度?現在去蝦皮購物、去誠品買書,我的個資會不會外洩?
發言片段: 18
林副署長俊秀:跟委員報告,根據誠品的說明,它已經找了國內數一數二的資安公司來進行檢測,包括中華資安跟奧義智慧。
發言片段: 19
何委員欣純:那目前檢測的結果如何?
發言片段: 20
林副署長俊秀:目前他們的系統沒有問題。
發言片段: 21
何委員欣純:所以他們自己請了專業、一流的資安公司來檢測是沒有問題的,既然他們系統沒有問題,那為什麼還會發生問題……
發言片段: 22
林副署長俊秀:跟委員報告,資安還有很多的是供應鏈管理的問題,現正清查中。
發言片段: 23
唐部長鳳:就是它的物流或是金流相關的合作夥伴。
發言片段: 24
何委員欣純:請問現在你所調查的部分,你們調查了什麼東西?你要求誠品提供什麼東西?
發言片段: 25
林副署長俊秀:我們請誠品提供很多Log的資料,包括權限的管理、還有供應商管理的相關資料。
發言片段: 26
何委員欣純:到現在已經第8天,經過一個禮拜多的時間,你們應該有掌握到一定的事證,證明它到底有沒有資安的問題。到底有沒有?
發言片段: 27
林副署長俊秀:目前資料還在彙整當中。
發言片段: 28
何委員欣純:好,你說還在彙整當中,你也說誠品自己聘請所謂專業的資訊公司來查並沒有問題,但最後問題還是發生了,所以他們自己調查的算不算數我不知道。面對他們自己請專業的資訊公司來查驗系統說沒有問題,不知道數發部怎麼看?又部長對這件事的態度為何?
發言片段: 29
唐部長鳳:是,我們為什麼會要求他們提出整個供應鏈相關的紀錄檔(Log)?因為誠品自己請來的資安公司,它所查核的範圍不一定有及於全部的過程,包含後面的貨運或者是物流、金流等這些部分,所以我們現在所彙整的資訊,就是去看後面這些環節是不是有可能出差錯,以及誠品有沒有可能導入所謂的隱碼技術,確保其後面其實根本不需要接到客戶的手機,手機號碼也應該要能夠執行這些工作。
發言片段: 30
何委員欣純:所以這可能就是你報告裡面的重點。
發言片段: 31
唐部長鳳:是的。
發言片段: 32
何委員欣純:好,你說誠品這件事情是屬於重大資安事件,那你是如何界定的?是因為媒體爆料了,還是他們召開記者會了,所以你就把它界定為重大資安事件?那一般國人發生的一些事情,包括我剛才講的誠品、蝦皮,這些早就是所謂的高風險詐騙賣場,2023年就有委員開過記者會了,但都要等到個資外洩案件發生之後才開始調查,而且是屬於重大的資安事件才會去查嗎?
發言片段: 33
唐部長鳳:不是,我們大概都會去查,像剛才產業署所講的,包含我們找民間做紅隊測試等,都是照著委員前幾張簡報,刑事局列為高風險賣場的排序來進行工作,所以這部分我們並沒有輕忽。這一次是……
發言片段: 34
何委員欣純:你依照排序來查是怎麼查?你剛剛說按照刑事警察局所謂高風險賣場的排序來查,那你們查的內容是什麼?查的方式又是什麼?
發言片段: 35
唐部長鳳:對,好比客戶的手機號碼等等洩漏的話,我們會試著去溯源,甚至我們也會請紅隊模擬駭客攻擊一樣,試著在剛剛整個全部過程裡面找到破口等。這一件個案是因為誠品本身有報案,已經列為刑事調查的程度,所以當然媒體就會報導,但是其實這些高風險賣場我們平常都有在輔導,也有在巡查。
發言片段: 36
何委員欣純:那稽查的頻率有多少?
發言片段: 37
唐部長鳳:這個是不是請產業署說明?剛剛聽到是40家次。
發言片段: 38
林副署長俊秀:我們每年會做電商的健檢,40家次,由2個紅隊演練。
發言片段: 39
何委員欣純:每年多少時間內的頻率是40家次?
發言片段: 40
林副署長俊秀:從去年8月27日成立之後,我們就做電商……
發言片段: 41
何委員欣純:到現在為止嗎?
發言片段: 42
林副署長俊秀:對,今年還會有40家。
發言片段: 43
何委員欣純:好,今年還會有40家次。我認為要更頻繁,因為你看從110年到111年,這幾家一直都在民眾通報的高風險賣場裡面,那表示第一個,在上面交易的民眾使用率高。第二個,我相信這幾家掌握國人的個資量也最高。第三個,他們在報警、報案方面,是警方列管的高風險賣場。所以這個部分數發部應該要更積極提高稽查的頻率跟次數還有家次。我為什麼這麼講?因為我剛剛說一般人關心的是上網去買東西、訂東西,留下的個資到底會不會外洩?關鍵就在大家對政府要有信心,而可以幫他們把關的單位就是數發部。
發言片段: 44
唐部長鳳:我完全同意,而且剛三讀通過的個資法在這一點會有很大的幫助,因為之前如果是限期改善等,那個過程是沒有辦法裁罰的,而之前最多也只罰到20萬而已,所以從電商的角度來看,當然最主要的是商譽受損,但是罰金就有點不成比例。三讀通過新版本的個資法最高是罰200萬元,應該可以促使更多電商適當的投資,以解決根本原因的問題。
發言片段: 45
何委員欣純:我剛剛還有一個問題,你沒回答到,就是你如何界定重大的資安事件?因為我看到面對重大的資安事件,你們的速度就加快一點,之前在質詢你的時候,很多的行政調查是很慢的。
發言片段: 46
唐部長鳳:那是個資事件,我們資安通報是政府裡面自己的,重大矚目的個資事件這個在1.5綱領裡面……
發言片段: 47
何委員欣純:那你怎麼界定重大矚目的個資外洩事件?媒體爆料或有人開記者會,或是委員……
發言片段: 48
唐部長鳳:包含委員們或是媒體等,或者它影響的範圍非常大等,就是一次影響非常多人。
發言片段: 49
何委員欣純:我是建議啦,你要分級分類,而且要把效率、魄力、能力跟專業拿出來,這樣我們國人才會信任政府,也才會相信我們成立數發部是有用的。不然的話,很多國人到現在為止都還沒有感受到。政府對於詐騙、個資外洩的因應對策,或是資安系統的建置,這些都還沒讓民眾感受到。
發言片段: 50
唐部長鳳:對,這兩年境外攻擊力道大幅竄升,今年可能又會更多,我們相應的聯防以及根本原因的查處力道也必須等比例的上升。
發言片段: 51
何委員欣純:要加強、加強、再加強。你們除了稽查、行政調查慢,法案的推動也慢啊!最後再提醒你們,你剛剛講個資法已經修法通過,個資法修法通過才多久的時間?行政院的版本送到我們立法院三讀通過才75天,數發部成立到現在已經268天,我們卻還沒看到行政院版的資通法!
發言片段: 52
唐部長鳳:其實我們有一個版本正在跟地方政府協商,因為涉及地方政府與中央權限的問題,我們希望能儘快協商出一個共識。
發言片段: 53
何委員欣純:協商還要多久?
發言片段: 54
唐部長鳳:我們當然希望年底前……
發言片段: 55
何委員欣純:預計時程是多久?
發言片段: 56
唐部長鳳:我們希望年底前能提出院版,如果協商順利的話也許可以加速。
發言片段: 57
何委員欣純:我希望你們可以儘速於下會期提出,並在年底前三讀通過,不要告訴我年底前才能提出版本!
發言片段: 58
唐部長鳳:我們就請資安署的同仁……
發言片段: 59
何委員欣純:要加快速度,好不好?
發言片段: 60
唐部長鳳:是,儘量加速!
發言片段: 61
何委員欣純:個資法才花了75天就三讀通過!
發言片段: 62
唐部長鳳:理解。
發言片段: 63
何委員欣純:好不好?效率、能力、專業要讓人民有感,大家才會信任政府,才會相信成立數發部是有用的。
發言片段: 64
唐部長鳳:謝謝委員提醒。
發言片段: 65
何委員欣純:謝謝。
發言片段: 66
唐部長鳳:謝謝委員。
發言片段: 67
主席:現在處理臨時提案。請議事人員宣讀。
1、
查財政部電子發票整合服務平台於112年5月中旬,被白帽駭客揭露,發給營業申請人同一預設密碼,存在資安漏洞,致使廠商營業秘密資料,有外洩之虞。
雖財政部於13日要求全面更換密碼、加強密碼強度,初步解決電子發票整合服務平台漏洞。惟該系統承包商仍有承作多項公私部門資訊系統,恐類似漏洞仍存在於其他政府資訊系統而未發現。為增進我國政府資訊安全考量故,茲爰請數位發展部:
(一)盤點該廠商所承攬之其他政府資訊系統,是否亦有類似漏洞,並於一個月內完成清點改善、提出報告。
(二)盤點政府各部門現有各類向民眾公開、提供民眾登入使用之「網路便民服務系統」登入驗證方式之安全性,並提出改善規劃,兩個月內提出初步盤點結果與改善規劃報告。
提案人:李昆澤  何欣純  許智傑  鍾佳濱
發言片段: 68
主席:請問各位委員及行政部門有無意見?若無意見就照案通過。
進行第2案。
2、
查財政部電子發票整合服務平台於今年5月中旬,被白帽駭客揭露,發給營業申請人同一預設密碼,存在資安漏洞,致使廠商營業秘密資料,有外洩之虞。
雖財政部於13日要求全面更換密碼、加強密碼強度,初步解決電子發票整合服務平台漏洞。惟該系統承包商仍有承作多項公私部門資訊系統,恐類似漏洞仍存在於其他政府資訊系統而未發現。
查自然人憑證、工商憑證之安全性、驗證強度皆遠較帳號密碼登錄驗證為高,為增進我國政府資訊安全考量故,茲爰請財政部,檢視部轄現有向民眾開放、提供民眾登入使用之網路資訊系統驗證方式安全性,並研議以安全性較高、驗證強度較強之自然人憑證、工商憑證作為登錄驗證機制或其他方式提升安全性,於兩個月內提出檢討報告。
提案人:李昆澤  何欣純  許智傑  鍾佳濱
發言片段: 69
主席:請問各位委員及行政部門有無意見?
請財政部財資中心張主任。
發言片段: 70
張主任文熙:第2行建議增加三個字,即「發給營業申請人」改為「發給營業人帳號申請人」,因為這是針對人……
發言片段: 71
主席:發給營業人,「申請」不要了?
發言片段: 72
張主任文熙:不是,增加三個字,改為「營業人帳號」。
發言片段: 73
主席:「發給營業人帳號」,增加三個字?
發言片段: 74
張主任文熙:對。
發言片段: 75
主席:各位委員有無意見?若無意見第2案通過。
請許委員智傑發言。

公報詮釋資料

page_end 264
meet_id 委員會-10-7-23-11
speakers ["陳雪生","邱臣遠","林楚茵","陳椒華","林俊憲","陳素月","蔡培慧","李昆澤","邱顯智","何欣純","許智傑","游毓蘭","鍾佳濱","江啟臣","洪申翰","李貴敏","王鴻薇","劉櫂豪","魯明哲","鄭天財Sra Kacaw","高嘉瑜","王婉諭","張其祿","趙正宇","洪孟楷","陳歐珀","吳欣盈","傅崐萁"]
page_start 189
meetingDate ["2023-05-22"]
gazette_id 1125902
agenda_lcidc_ids ["1125902_00005"]
meet_name 立法院第10屆第7會期交通委員會第11次全體委員會議紀錄
content 一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失,如何就全 國政府部門各系統進行資安系統盤點及改善」進行專題報告,並備質詢;二、審查委員賴品妤等 36人擬具「資通安全管理法部分條文修正草案」案;三、繼續審查委員陳以信等16人擬具「資通 安全管理法第二條條文修正草案」案;四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及 第七條條文修正草案」案;五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文 修正草案」案
agenda_id 1125902_00004