公部門禁危害國安產品 數位部:逾千個列管
數位發展部修正《資安法》,禁止公部門使用「危害國家資通安全產品」,但擔憂產品曝光後,可改名規避,因此清單都未公開。資安署長謝翠娟23日在立法院備詢表示,清單約有10個大項,1000多個產品列管中,由於部分產品仍有資料庫查詢需求,因此採限制性使用。立委洪孟楷質詢提及,數位部修正資安法是否有定義什麼是危害國家資安產品?有無產品清單?數位部長唐鳳表示,目前已盤點中共可實質控制產品,包含軟硬體和服務,若有部會使用就會限期汰換,透過斷網措施,確保後續不會有影響。謝翠娟補充,1000多個列管產品中,資料庫與電子書約占1/5,目前列管產品仍未汰換,主因是有查詢對岸學術資料庫和論文等需求,但仍須經資安長同意後才可使用。洪孟楷質疑,中下游廠商使用部分是否也要列管?如台鐵車站螢幕先前曾有駭客入侵,台鐵就推給下游廠商。唐鳳說,目前「各機關對危害國家資通安全產品限制使用原則」已修正,公眾場域都比照公務場域須納管。唐鳳表示,公部門共同供應契約中,超過2個機關使用的產品較無問題,若是全新產品、公務系統沒用過的,可詢問數位部,該部將檢視是否受中共實質管控。立委林俊憲擔憂,政府1年採購20萬件資安設備,資安法未訂定相關罰則,使用機關若無落實盤點設備或自行採用,如何知道有問題的產品。對此,唐鳳也表示,數位部已跟公共工程委員會討論,將資安相關規範放進新的採購契約內,只要連上公用網路就會發現;謝翠娟也說,各機關設備每月都要上網更新漏洞,如此一來,便知使用的產品有沒有問題。