公報發言紀錄
發言片段
lineno: 440
| 發言片段: 0 |
|---|
| 何委員欣純:(10時23分)部長,我剛剛聽了一個早上,每次發生資安事件之後,我們在調查期間能不能把資安漏洞及時補起來?我剛剛聽到財政部電子發票整合服務平台的這件事情,我們慢了一個禮拜才解決這個資安漏洞,原因之一是怕影響營業稅的報稅,但我們的緊急應變也可以延長報稅的時間啊!第一要件是什麼?應該要把資安漏洞補起來,部長你同不同意? |
| 發言片段: 1 |
| 主席:請數位部唐部長說明。 |
| 發言片段: 2 |
| 唐部長鳳:委員好。當然同意,所以他們第一時間有通知所有受到影響的人。 |
| 發言片段: 3 |
| 何委員欣純:只有通知啊!問題是資安系統上的漏洞沒有補起來。 |
| 發言片段: 4 |
| 唐部長鳳:對,當然應該要強制變更。 |
| 發言片段: 5 |
| 何委員欣純:我要問部長全國矚目的誠品事件,誠品連續2年名列警方的高風險賣場,今天很多委員都有提到,提到之後大家都在問,目前誠品的事情調查得如何? |
| 發言片段: 6 |
| 唐部長鳳:對,我們現在是採同樣的作法,就是10天會寫報告,14天會做出處分,而且會讓大家知道是怎麼樣的處分。 |
| 發言片段: 7 |
| 何委員欣純:除了時間點之外,我們目前在調查期間,系統上的資安漏洞解決了嗎?問題還存在嗎? |
| 發言片段: 8 |
| 唐部長鳳:這個是否請副署長跟您說明? |
| 發言片段: 9 |
| 主席:請數位部產業署林副署長說明。 |
| 發言片段: 10 |
| 林副署長俊秀:我們上次到現場行政調查時有請偵九隊協助,偵九隊有要求一些Log的資料,誠品正在提供給偵九隊做進一步的分析。 |
| 發言片段: 11 |
| 何委員欣純:所以現在正在提供資料…… |
| 發言片段: 12 |
| 林副署長俊秀:我要去確認一下…… |
| 發言片段: 13 |
| 何委員欣純:意思是說在調查跟提供資料的這段時間,所謂的資安漏洞還是沒有解決? |
| 發言片段: 14 |
| 唐部長鳳:這是兩件事,我們是個資的主管機關,但是因為誠品也有報案,所以刑事局那邊即時的聯防,包含跨國的偵查等等,是兩線在進行。 |
| 發言片段: 15 |
| 何委員欣純:所以部長我請問你的專業啊!因為我們一般人不懂啊!我們現在只關心從一般人的角度來看,我現在去誠品買書,在這個平臺或是系統上,有關資訊的安全與個資的安全有沒有受到保障? |
| 發言片段: 16 |
| 唐部長鳳:謝謝委員給我們機會說明,我想任何人去剛剛您簡報提到民眾所通報的高風險賣場,都可能有一定程度的風險,這就是為什麼刑事局說它們是高風險賣場。我們現在主要的工作是確保我們找到原因之後根本解決這些事情。 |
| 發言片段: 17 |
| 何委員欣純:部長,我當然知道要找到根本原因、要解決事情,我現在就是在問你,現在調查的時間拖了這麼久,在這段期間,我所關心的是,如果我現在再去誠品買書,那我會不會也受到個資外洩、資訊安全、個資安全的影響?我現在要請你回答Yes or No,我們關心的是這個。在這段調查期間,所謂資安系統的漏洞到底有沒有被補足、被解決?有沒有暫停使用或怎麼樣?現在再去買書,會不會受到影響?就如同剛剛你回答的,為什麼那麼多人在關心蝦皮購物,還有很多電商平臺?因為每天有那麼多國人上網去買賣東西。問題是從數發部成立的到現在,我們所關心的是到底能為我們國人的資安把關到什麼程度?現在去蝦皮購物、去誠品買書,我的個資會不會外洩? |
| 發言片段: 18 |
| 林副署長俊秀:跟委員報告,根據誠品的說明,它已經找了國內數一數二的資安公司來進行檢測,包括中華資安跟奧義智慧。 |
| 發言片段: 19 |
| 何委員欣純:那目前檢測的結果如何? |
| 發言片段: 20 |
| 林副署長俊秀:目前他們的系統沒有問題。 |
| 發言片段: 21 |
| 何委員欣純:所以他們自己請了專業、一流的資安公司來檢測是沒有問題的,既然他們系統沒有問題,那為什麼還會發生問題…… |
| 發言片段: 22 |
| 林副署長俊秀:跟委員報告,資安還有很多的是供應鏈管理的問題,現正清查中。 |
| 發言片段: 23 |
| 唐部長鳳:就是它的物流或是金流相關的合作夥伴。 |
| 發言片段: 24 |
| 何委員欣純:請問現在你所調查的部分,你們調查了什麼東西?你要求誠品提供什麼東西? |
| 發言片段: 25 |
| 林副署長俊秀:我們請誠品提供很多Log的資料,包括權限的管理、還有供應商管理的相關資料。 |
| 發言片段: 26 |
| 何委員欣純:到現在已經第8天,經過一個禮拜多的時間,你們應該有掌握到一定的事證,證明它到底有沒有資安的問題。到底有沒有? |
| 發言片段: 27 |
| 林副署長俊秀:目前資料還在彙整當中。 |
| 發言片段: 28 |
| 何委員欣純:好,你說還在彙整當中,你也說誠品自己聘請所謂專業的資訊公司來查並沒有問題,但最後問題還是發生了,所以他們自己調查的算不算數我不知道。面對他們自己請專業的資訊公司來查驗系統說沒有問題,不知道數發部怎麼看?又部長對這件事的態度為何? |
| 發言片段: 29 |
| 唐部長鳳:是,我們為什麼會要求他們提出整個供應鏈相關的紀錄檔(Log)?因為誠品自己請來的資安公司,它所查核的範圍不一定有及於全部的過程,包含後面的貨運或者是物流、金流等這些部分,所以我們現在所彙整的資訊,就是去看後面這些環節是不是有可能出差錯,以及誠品有沒有可能導入所謂的隱碼技術,確保其後面其實根本不需要接到客戶的手機,手機號碼也應該要能夠執行這些工作。 |
| 發言片段: 30 |
| 何委員欣純:所以這可能就是你報告裡面的重點。 |
| 發言片段: 31 |
| 唐部長鳳:是的。 |
| 發言片段: 32 |
| 何委員欣純:好,你說誠品這件事情是屬於重大資安事件,那你是如何界定的?是因為媒體爆料了,還是他們召開記者會了,所以你就把它界定為重大資安事件?那一般國人發生的一些事情,包括我剛才講的誠品、蝦皮,這些早就是所謂的高風險詐騙賣場,2023年就有委員開過記者會了,但都要等到個資外洩案件發生之後才開始調查,而且是屬於重大的資安事件才會去查嗎? |
| 發言片段: 33 |
| 唐部長鳳:不是,我們大概都會去查,像剛才產業署所講的,包含我們找民間做紅隊測試等,都是照著委員前幾張簡報,刑事局列為高風險賣場的排序來進行工作,所以這部分我們並沒有輕忽。這一次是…… |
| 發言片段: 34 |
| 何委員欣純:你依照排序來查是怎麼查?你剛剛說按照刑事警察局所謂高風險賣場的排序來查,那你們查的內容是什麼?查的方式又是什麼? |
| 發言片段: 35 |
| 唐部長鳳:對,好比客戶的手機號碼等等洩漏的話,我們會試著去溯源,甚至我們也會請紅隊模擬駭客攻擊一樣,試著在剛剛整個全部過程裡面找到破口等。這一件個案是因為誠品本身有報案,已經列為刑事調查的程度,所以當然媒體就會報導,但是其實這些高風險賣場我們平常都有在輔導,也有在巡查。 |
| 發言片段: 36 |
| 何委員欣純:那稽查的頻率有多少? |
| 發言片段: 37 |
| 唐部長鳳:這個是不是請產業署說明?剛剛聽到是40家次。 |
| 發言片段: 38 |
| 林副署長俊秀:我們每年會做電商的健檢,40家次,由2個紅隊演練。 |
| 發言片段: 39 |
| 何委員欣純:每年多少時間內的頻率是40家次? |
| 發言片段: 40 |
| 林副署長俊秀:從去年8月27日成立之後,我們就做電商…… |
| 發言片段: 41 |
| 何委員欣純:到現在為止嗎? |
| 發言片段: 42 |
| 林副署長俊秀:對,今年還會有40家。 |
| 發言片段: 43 |
| 何委員欣純:好,今年還會有40家次。我認為要更頻繁,因為你看從110年到111年,這幾家一直都在民眾通報的高風險賣場裡面,那表示第一個,在上面交易的民眾使用率高。第二個,我相信這幾家掌握國人的個資量也最高。第三個,他們在報警、報案方面,是警方列管的高風險賣場。所以這個部分數發部應該要更積極提高稽查的頻率跟次數還有家次。我為什麼這麼講?因為我剛剛說一般人關心的是上網去買東西、訂東西,留下的個資到底會不會外洩?關鍵就在大家對政府要有信心,而可以幫他們把關的單位就是數發部。 |
| 發言片段: 44 |
| 唐部長鳳:我完全同意,而且剛三讀通過的個資法在這一點會有很大的幫助,因為之前如果是限期改善等,那個過程是沒有辦法裁罰的,而之前最多也只罰到20萬而已,所以從電商的角度來看,當然最主要的是商譽受損,但是罰金就有點不成比例。三讀通過新版本的個資法最高是罰200萬元,應該可以促使更多電商適當的投資,以解決根本原因的問題。 |
| 發言片段: 45 |
| 何委員欣純:我剛剛還有一個問題,你沒回答到,就是你如何界定重大的資安事件?因為我看到面對重大的資安事件,你們的速度就加快一點,之前在質詢你的時候,很多的行政調查是很慢的。 |
| 發言片段: 46 |
| 唐部長鳳:那是個資事件,我們資安通報是政府裡面自己的,重大矚目的個資事件這個在1.5綱領裡面…… |
| 發言片段: 47 |
| 何委員欣純:那你怎麼界定重大矚目的個資外洩事件?媒體爆料或有人開記者會,或是委員…… |
| 發言片段: 48 |
| 唐部長鳳:包含委員們或是媒體等,或者它影響的範圍非常大等,就是一次影響非常多人。 |
| 發言片段: 49 |
| 何委員欣純:我是建議啦,你要分級分類,而且要把效率、魄力、能力跟專業拿出來,這樣我們國人才會信任政府,也才會相信我們成立數發部是有用的。不然的話,很多國人到現在為止都還沒有感受到。政府對於詐騙、個資外洩的因應對策,或是資安系統的建置,這些都還沒讓民眾感受到。 |
| 發言片段: 50 |
| 唐部長鳳:對,這兩年境外攻擊力道大幅竄升,今年可能又會更多,我們相應的聯防以及根本原因的查處力道也必須等比例的上升。 |
| 發言片段: 51 |
| 何委員欣純:要加強、加強、再加強。你們除了稽查、行政調查慢,法案的推動也慢啊!最後再提醒你們,你剛剛講個資法已經修法通過,個資法修法通過才多久的時間?行政院的版本送到我們立法院三讀通過才75天,數發部成立到現在已經268天,我們卻還沒看到行政院版的資通法! |
| 發言片段: 52 |
| 唐部長鳳:其實我們有一個版本正在跟地方政府協商,因為涉及地方政府與中央權限的問題,我們希望能儘快協商出一個共識。 |
| 發言片段: 53 |
| 何委員欣純:協商還要多久? |
| 發言片段: 54 |
| 唐部長鳳:我們當然希望年底前…… |
| 發言片段: 55 |
| 何委員欣純:預計時程是多久? |
| 發言片段: 56 |
| 唐部長鳳:我們希望年底前能提出院版,如果協商順利的話也許可以加速。 |
| 發言片段: 57 |
| 何委員欣純:我希望你們可以儘速於下會期提出,並在年底前三讀通過,不要告訴我年底前才能提出版本! |
| 發言片段: 58 |
| 唐部長鳳:我們就請資安署的同仁…… |
| 發言片段: 59 |
| 何委員欣純:要加快速度,好不好? |
| 發言片段: 60 |
| 唐部長鳳:是,儘量加速! |
| 發言片段: 61 |
| 何委員欣純:個資法才花了75天就三讀通過! |
| 發言片段: 62 |
| 唐部長鳳:理解。 |
| 發言片段: 63 |
| 何委員欣純:好不好?效率、能力、專業要讓人民有感,大家才會信任政府,才會相信成立數發部是有用的。 |
| 發言片段: 64 |
| 唐部長鳳:謝謝委員提醒。 |
| 發言片段: 65 |
| 何委員欣純:謝謝。 |
| 發言片段: 66 |
| 唐部長鳳:謝謝委員。 |
| 發言片段: 67 |
| 主席:現在處理臨時提案。請議事人員宣讀。 |
| 1、 |
| 查財政部電子發票整合服務平台於112年5月中旬,被白帽駭客揭露,發給營業申請人同一預設密碼,存在資安漏洞,致使廠商營業秘密資料,有外洩之虞。 |
| 雖財政部於13日要求全面更換密碼、加強密碼強度,初步解決電子發票整合服務平台漏洞。惟該系統承包商仍有承作多項公私部門資訊系統,恐類似漏洞仍存在於其他政府資訊系統而未發現。為增進我國政府資訊安全考量故,茲爰請數位發展部: |
| (一)盤點該廠商所承攬之其他政府資訊系統,是否亦有類似漏洞,並於一個月內完成清點改善、提出報告。 |
| (二)盤點政府各部門現有各類向民眾公開、提供民眾登入使用之「網路便民服務系統」登入驗證方式之安全性,並提出改善規劃,兩個月內提出初步盤點結果與改善規劃報告。 |
| 提案人:李昆澤 何欣純 許智傑 鍾佳濱 |
| 發言片段: 68 |
| 主席:請問各位委員及行政部門有無意見?若無意見就照案通過。 |
| 進行第2案。 |
| 2、 |
| 查財政部電子發票整合服務平台於今年5月中旬,被白帽駭客揭露,發給營業申請人同一預設密碼,存在資安漏洞,致使廠商營業秘密資料,有外洩之虞。 |
| 雖財政部於13日要求全面更換密碼、加強密碼強度,初步解決電子發票整合服務平台漏洞。惟該系統承包商仍有承作多項公私部門資訊系統,恐類似漏洞仍存在於其他政府資訊系統而未發現。 |
| 查自然人憑證、工商憑證之安全性、驗證強度皆遠較帳號密碼登錄驗證為高,為增進我國政府資訊安全考量故,茲爰請財政部,檢視部轄現有向民眾開放、提供民眾登入使用之網路資訊系統驗證方式安全性,並研議以安全性較高、驗證強度較強之自然人憑證、工商憑證作為登錄驗證機制或其他方式提升安全性,於兩個月內提出檢討報告。 |
| 提案人:李昆澤 何欣純 許智傑 鍾佳濱 |
| 發言片段: 69 |
| 主席:請問各位委員及行政部門有無意見? |
| 請財政部財資中心張主任。 |
| 發言片段: 70 |
| 張主任文熙:第2行建議增加三個字,即「發給營業申請人」改為「發給營業人帳號申請人」,因為這是針對人…… |
| 發言片段: 71 |
| 主席:發給營業人,「申請」不要了? |
| 發言片段: 72 |
| 張主任文熙:不是,增加三個字,改為「營業人帳號」。 |
| 發言片段: 73 |
| 主席:「發給營業人帳號」,增加三個字? |
| 發言片段: 74 |
| 張主任文熙:對。 |
| 發言片段: 75 |
| 主席:各位委員有無意見?若無意見第2案通過。 |
| 請許委員智傑發言。 |
公報詮釋資料
| page_end | 264 |
|---|---|
| meet_id | 委員會-10-7-23-11 |
| speakers | ["陳雪生","邱臣遠","林楚茵","陳椒華","林俊憲","陳素月","蔡培慧","李昆澤","邱顯智","何欣純","許智傑","游毓蘭","鍾佳濱","江啟臣","洪申翰","李貴敏","王鴻薇","劉櫂豪","魯明哲","鄭天財Sra Kacaw","高嘉瑜","王婉諭","張其祿","趙正宇","洪孟楷","陳歐珀","吳欣盈","傅崐萁"] |
| page_start | 189 |
| meetingDate | ["2023-05-22"] |
| gazette_id | 1125902 |
| agenda_lcidc_ids | ["1125902_00005"] |
| meet_name | 立法院第10屆第7會期交通委員會第11次全體委員會議紀錄 |
| content | 一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失,如何就全 國政府部門各系統進行資安系統盤點及改善」進行專題報告,並備質詢;二、審查委員賴品妤等 36人擬具「資通安全管理法部分條文修正草案」案;三、繼續審查委員陳以信等16人擬具「資通 安全管理法第二條條文修正草案」案;四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及 第七條條文修正草案」案;五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文 修正草案」案 |
| agenda_id | 1125902_00004 |