資安即國安
」 資安 蔡英文 個資 唐鳳 民眾黨
資安法上路五年 藍委質疑預算暴增仍難防駭客攻擊
台灣證券交易所、主計總處、憲兵指揮部、兆豐金與彰銀等45個網站遭親俄駭客攻擊,上周四下午陸續傳出當機、連不上網頁。政院要求數發部密切掌握應處,並表達嚴厲譴責,不過,國民黨立委葉元之卻發現,全國公部門資安預算連年增加,結果面對最基礎的DDos(分散式阻斷服務),政府機關卻依然不堪一擊,令人懷疑資安預算究竟用在哪裡?資安法從2019年元旦起實施,前總統蔡英文曾宣誓推動「資安即國安」國家戰略,還在政院下成立資安處、數發部,僅建立資安監控中心(SOC)和資安情資分享中心(ISAC)就花了納稅人25億資安專案經費,結果政府部門網站主機每次遇到網路攻擊,就依然「掉漆」。葉元之指出,以媒體披露無法連上網站的主計總處為例,112年主計資訊處編列3018萬預算,用來做機房維運、核心系統備援、主計資訊系統維運平台、網路設備、資安設備、個人電腦、印表機等週邊設備之軟硬體維護,本總處對外服務之全球資訊網、防毒軟體、資安監控防護及防火牆等更新維護。到了113年,系統與資安預算資訊服務費成長到4990萬,114年預算又再度膨脹到6483萬,近三年連年成長一千餘萬,結果資安依舊出包,這些數字還都沒有加計耗材預算與機房維運、網路費,真不知道資安成長預算到底都花到哪裡去了。葉元之進一步指出,網路上有很多資安公司推出的免費網路數位攻擊地圖,從這些工具可以發現每天全世界各地都有數以萬起的網路攻擊,但只要做好資安管理、定時更新軟硬體系統,理論上說,應可防範大部分攻擊,而且我國資安預算連續成長,政府對資安的投入和預算增加,原本應該帶來更強大的防護能力。但他質疑,從這次的駭客攻擊事件來看,政府機關似乎還沒有做好足夠的準備。如果預算不斷投入資安領域,但卻沒有產生實際效益,這樣的資安預算成長就顯得徒具形式,對國家整體的網路安全沒有實質幫助,資安預算究竟買了些什麼,用到哪裡去,他會嚴格把關,也呼籲國人一起重視。
揭起重機資安疑慮 立委籲補助排除陸黨政軍企業
立法委員鍾佳濱、林楚茵與經濟民主連合智庫召集人賴中強23日開記者會指出,陸製的碼頭智慧型起重機有資安漏洞,可透過網路遠端存取,已受美國國會調查,呼籲勞動部對起重機補助時,應排除中國大陸的黨政軍相關企業,並加強對關鍵基礎設施檢核資安。鍾佳濱揭露,近年來台灣引進不少中國大陸製移動式起重機,應防範智慧型起重機對台資安、國安造成的潛在威脅,他在8月15日召開協調會時,討論勞動部職業安全衛生署的「移動式起重機汰舊換新及強化安全作業補助要點」,發現陸製主要的徐工、三一、中聯等三家起重機製造公司皆為中共人大代表持有,為防資敵,補助對象應排除陸製移動式起重機,另所有補助起重機之荷重電腦及資通訊設備皆應排除中國大陸製造。林楚茵表示,資安即國安,中國大陸製資訊產品存在潛在安全風險,國防部已禁止陸製設備,公共工程和國營事業應效仿。她表示,行政院應盡速推動「資通安全自主化」,推行國產資安產品認證,降低資安供應鏈中斷的風險,確保國家關鍵基礎設施安全,政府應該盤查具有資安疑慮廠商,並且揭露相關資訊,攔阻敵對勢力入侵關鍵基礎設施。賴中強表示,今年三月華爾街日報報導,美國國會對全美港口裝設的中國製起重機進行調查,發現上海振華重工起重機具有能遠端存取的蜂巢式調變解調器。美國海岸防衛隊網路司令部指揮官范恩就港口起重機一事向眾議院國土安全委員會作證說:「我們發現(起重機)存在刻意設計的漏洞和弱點。」同樣的風險,不只存在於台灣的港口,台灣的軍事基地與關鍵基礎設施。賴中強說,2022年8月美國眾議院議長裴洛西來台,台鐵與超商的廣告看板出現「戰爭販子裴洛西滾出台灣」。過去經民連一再倡議監視器與廣告看板應該禁用中國大陸製的軟硬體設施,建議行政院國土安全政策會報,應盡速確定禁用陸製監視器與廣告看板的實施步驟與期程,從公部門、關鍵基礎設施、公眾出入場所開始禁用,並設立「資通訊產品去中國化產業鏈」的認證中心。鍾佳濱表示,行政院國土安全辦公室應盤點各機關及關鍵基礎設施,視個案履約地點、履約過程之相關保密與資安需求等級,及市場供應情形建立檢核表,對於機具或勞務針對其操作範圍去做限制,透過檢核表評估是否使用禁止特定地區之產品,或就其中特定零組件、控制晶片、紀錄晶片、傳輸晶片等,進行管制之必要,各機關單位應於契約中要求廠商提出產品產地來源或零組件安全等證明文件;而後續機具維修保固中國大陸技術人員來台協助時也應注意,避免其偷渡中製晶片。勞動部表示,未來將配合修正補助要點,交通部航港局也補充,橋式與門式起重機共有431座,其中中國大陸製就包含99座,而雖然台灣港務公司認為,因操作軟體多以日、韓、德等國製作,並且為封閉軟體,資安疑慮較少,但還是會加強對業者稽核,並函請數發部提供建議協助改善,目前基隆港與高雄港已透過外部稽核檢驗。行政院公共工程委員會表示,未來會透過源頭管理採購把關,也會與國土安全辦公室研究採購契約範本,並且於勞務履約的進場設備也有通案性措施。
外島主管可以返台放假了 國防部長顧立雄:全軍留值恢復常態
2022年爆發烏俄戰爭,國際局勢動盪,時任國防部長邱國正當時下令,三軍各部隊正、副主官平日、假日皆不得同時離營。國防部長顧立雄今(5)日表示,該作為長時間運作後,各級指揮機制已應處得宜,故即日起將正、副主官留值規定恢復常態。國防部《軍聞社》指出,顧立雄今下午在副參謀總長執行官鄭榮豐上將、政戰局長陳育琳中將及國防部相關聯參主管陪同下,赴資通電軍指揮部聽取任務簡報,針對組織規畫、軟硬體新式裝備籌獲及人才培育等方面,與高階幹部討論並提出指導。顧立雄強調「資安即國安」,並期勉資通電軍全體官兵,秉持守護國家的信念,守護台灣不受駭客的假錯訊息攻擊,讓國家的數位環境更加安全,民主制度更有韌性。顧立雄指出,在現代戰爭中,網電作戰的重要性日漸提升。資通電軍是防衛固守、重層嚇阻軍事戰略下的第一層嚇阻兵力,可使國軍迅速掌握情資、應對突發狀況,有效支援三軍的聯合作戰。希望所有官兵在網路戰、電子戰的專業上持續精進、強化,以肆應未來戰場。顧立雄在談話中也肯定國軍各級幹部的辛勞,特別過去兩年,因應國際情勢不穩定及中共的襲擾,國防部要求各單位正、副主官,不得同時離營,確保能即時應處突發狀況。經過長時間運作,參謀本部與各級的指揮機制,都已經累積相關的經驗,應處得宜。顧立雄指示,經縝密研討,國防部決定即日起將各級正、副主官留值的規定恢復常態,依照2023年經常戰備時期突發狀況處置規定執行,以兼顧各級幹部對家庭的照顧,並有利於國軍人才的長留久用。
數位部尸位素餐 不如廢了
近日朝野連續炮轟數位發展部功能不彰,還要求數位部部長唐鳳下台,綠營攻擊的力道尤其強悍,對唐鳳大有必欲除之而後快的急迫感。照理說,520新總統上任內閣就會改組,就算民進黨派系要搶位子,屆時不讓唐鳳續任就好了,但綠媒和綠營政客竟追殺至此,可見唐鳳的不適任連民進黨都受不了了,非要提前下「逐客令」不可。轟唐鳳下台 民進黨更猛眾所周知,唐鳳深受蔡英文總統器重,蔡英文甚至為唐鳳量身打造數位部、讓她擔任部長,並且給了數位部不可思議的特權和超高預算。數位部甫成立第1年預算就高達217億元,且編制員額597人中竟有超過一半,計300人,是不需經過任何國家正式考試即可任用的約聘人員,約聘人員薪水比照薦任9職等,平均月薪高達6萬元,比大多數通過國考的新進公務人員的薪資高出甚多,在目前的低薪環境中,數位部如此肥缺,不知羨煞多少年輕人。對此,行政院人事行政總處官員表示,建立較為彈性的聘用機制是為了延攬專業技術人才,而且具資安證照的專業人士很搶手。那麼,試問,已掛牌1年半的數位部,聘用的人員中,具有資安證照的人有多少、所擁有的又是什麼機構認證的何種證照?政府用人可以這樣矇混糊弄的嗎?蔡英文曾說,資安即國安,數位部成立時,唐鳳也承諾「資安是數位部施政時的重要目標」,其中,資安署更會積極定期檢核政府資安韌性、推動國家資安防護,甚至數位部還成立了「國家資通安全研究院」,唐鳳自己兼任院長,以「協助各界建立更優質的防護體系」。然而,台灣的資安問題卻越來越嚴重。調查顯示,2022年公務機關及相關機構通報的資安事件共765件,2021年為696件,2020年為525件,年年增加。據統計,政府機關每月平均受到3000萬次以上的境外網路攻擊。此外,台灣每月大約新增3000至5000名民眾被駭,有7成2企業曾遭襲、陷入勒索病毒入侵的高度風險中。數位部成立後,資安事故頻傳:2022年10月媒體揭露,駭客駭得2300萬台灣民眾的戶政資料並公開兜售;2023年1月華航遭爆包括賴清德、張忠謀和林志玲等名人的會員個資外洩;健保署官員盜賣民眾個資,其中包括總統府、立法院、國防部及國安局、軍情局、調查局、警政署、檢察、海巡、政風及憲兵等11個情治系統投保人員的個資全都外洩,這屬於重大國安危機。無能又浪費 科技部足矣同年3月,故宮證實有10萬張國寶圖檔遭駭,並在網路上以1張台幣40元賤價出售,嚴重影響故宮權益;7月,中華汽車爆發資安勒索事件,導致部分生產線停工;根據Whoscall調查顯示,台灣65%民眾、相當於成年人中的1040萬人,手機號碼及個資外洩、落入駭客手中,遭詐騙的風險很高。包括政府、企業、民眾,資安持續爆雷,而唐鳳不置一詞,也拿不出有效辦法。公部門重大資安事件涉及個資外洩,備受各界關注,監察委員申請自動調查,立法院則要求行政院促請主管機關妥擬因應對策,避免公務部門資訊系統遭突發事件衝擊,引發資料外洩危機。可見數位部功能不彰,連向來「護綠」不遺餘力的監院和立院都看不下去了。數位部不只無能,還愛亂花錢。2024年編列「智慧防詐與數位信任應用發展計畫」委辦費3億元,預算中心批評費用支用標準不明確;2023及2024年編列7169萬多元打詐宣傳作業費,又編大型宣導活動505萬元及代言人費用等150萬元,明顯重複。立法院必須追究這麼多預算究竟用到了哪裡,別讓綠色派系爽爽瓜分,肥了自家人的口袋,打詐卻沒半撇。更別提,數位部以1億元租用臨時辦公室,卻只打算使用18個月,之後又要花大錢興建新的辦公大樓,浪費公帑莫此為甚!民調顯示,高達81%民眾對數位部整體表現感到不滿。不只無能的唐鳳要下台,更該嚴肅思考數位部的去留。當初行政院組織改造特別降低科技部位階,勻出空間成立數位部。現在看來,數位部歸為科技部轄下的一個單位也就夠了,別再讓廢柴一般的數位部繼續敗家了。
促進產學共創合作 培育金融資安跨領域人才 財金公司與國立政治大學簽署產學合作意向書
配合行政院「資安即國安」政策發展與金管會「金融資安行動方案2.0」,國立政治大學攜手財金公司於12月27日舉行「產學合作意向書簽約儀式」,由金管會資訊服務處林裕泰處長與永豐銀行李相臣資安長擔任儀式見證人、財金公司林國良董事長與政治大學李蔡彥校長共同簽署;期透過結合產業及學界的共同力量,增進學子實務知能、培育我國金融資安跨領域人才,強化金融資安韌性與量能。政治大學資訊安全科技研究中心與資訊安全碩士學位學程已於本(112)學年正式成立,未來將與財金公司共同開設金融資安相關實務應用課程,由政治大學的師資團隊結合財金公司及金融產業實務業師共同授課,針對金融科技、資訊安全及產業應用規劃金融資安專題、研習營、培訓活動、產業實習等兼具學術與實務的學程,並提供獎學金以鼓勵學子深入金融資安研究,將資安意識廣泛深植於學子心中,提升年輕世代對金融資安議題的重視。李蔡彥校長表示,政治大學長久以來致力於人才培育,建立學校與產業間的合作交流;本次簽署產學合作意向書,不僅是雙方合作的里程碑,更代表對台灣下一代金融科技與資訊安全跨領域人才培育的重要性。期待透過本次合作,建立與活絡金融資安領域的研究,共同強化我國資安韌性;並特別感謝財金公司為政大學子提供專業領域知識的應用與經驗分享,以及職業探索的機會,為金融資安領域人才育成貢獻良多,也期勉學生向業界汲取知識,強化自身技術與實務能力,以提升就業競爭力!林國良董事長表示,人才培育是企業永續發展所應承擔並善盡的企業社會責任,財金公司在106年底,受金管會委託營運「金融資安資訊分享與分析中心」(F-ISAC),協同銀行、保險、證券期貨、投信投顧等各業別金融機構,共同建構金融資安聯防體系;隨著萬物智慧聯網的時代來臨,資通安全已不僅是各金融業者單打獨鬥面對的議題,亦是全體國民關注的重要課題,期望透過本次產學合作計畫,將業界金融資安的應用與實務經驗傳承予校園學子,以培育優秀的資安即戰力,達成資訊共享與促進產業發展之目標!本次雙方共同簽署產學合作意向書,不僅促進產業與學界間的深入鏈結,完善人才培育並與產業接軌,達成學用合一的目標,並期待未來雙方能有更多元的合作、相輔相成共同發展,創造產業及學界的多贏局面!
刑事局與永豐金控簽署資安聯防MOU 打詐國家隊添生力軍
近年來詐欺犯罪結合跨境、網路等途徑氾濫、難以追查,犯罪手法型態多樣,公部門跨部會結合私部門電信、網路與金融業者力量,共組打詐國家隊案例又一,刑事警察局今(25)日與永豐金控公司簽訂MOU,未來針對資安、反詐聯防與技術交流進行合作,打詐國家隊再添新生力軍,共同反詐、守護民眾。刑事局表示,今日攜手永豐金控公司以「建構紅藍隊資安實力、反詐聯防與技術交流研討」之目標共同簽署合作意向書(MOU),由警政署副署長李西河、刑事警察局局長周幼偉、主任秘書蔡燕明、科技犯罪防制中心主任林建隆、預防科科長林書立及科技研發科科長莊明雄等人與永豐金控總經理朱士廷率永豐金控資安長李相臣、永豐金控財務長許如玫、永豐金控法遵長林淑閔、永豐金控副總何欣、永豐金控副總楊敦仁及永豐金控副總高大宇共同參與簽約儀式。在此MOU合作下未來將強化雙方從資安、反詐等方向進行實務合作聯防,並推動情資交流、重大資安事件處置及強化金融機構資安韌性等工作,另將規劃實務經驗交流與召開研討會,讓雙方人才與專業經驗緊密結合,期使永豐金控公司所屬金融機構人員具備反詐騙、防洗錢犯罪、資安風險管理等概念,杜絕金融犯罪發生。警政署副署長李西河表示,近年來詐欺犯罪多樣化且結合跨境、網路等方式,警方面臨日趨嚴峻及狡猾的犯罪手法,詐欺案類型必須透過公部門跨部會機制,並結合私部門電信、網路與金融業者力量,共組打詐國家隊,警民一同攜手合作,才能消弭犯罪,有鑒於此,刑事警察局已陸續與中國信託、富邦、台新、元大及國泰金控等多家簽署合作意向書,建構金融聯防體系就是希望擴大保障民眾財產。刑事局長周幼偉指出,呼應蔡總統提出「資安即國安2.0」及近期行政院打詐行動綱領1.5等策略,據統計大部分的資安事件多與詐騙有關,因此今日透過與永豐金控簽署合作意向書,雙方共同合作下加深資安事件的事前防禦與事後應處,並在反詐工作上建立AI偵測異常交易及快速聯防預警機制,提早防堵,減少民眾損害。另外,詐騙猖獗詐團中不乏招攬高科技及金融專業人士在協助犯罪,因此在打詐國家隊的陣容裡面,迫切需要挹注金融專業力量,聯合各領域人才一起打擊詐欺犯罪。
資安即國安!調查局與自來水簽署安全聯防情資備忘錄 加化資安防護
法務部調查局與台灣自來水股份有限公司於15日,簽署「國家資通安全聯防與情資分享合作備忘錄(MOU)」,簽署儀式由台灣自來水公司董事長李嘉榮主持,調查局局長王俊力代表調查局出席,同場的還有臺中市調查處處長蕭清淵、資通安全處處長張尤仁等高層也一同參與,現場氣氛十分隆重。王局長在儀式中表示,台灣自來水公司是全臺最大的自來水供應機構,同時也是國內極為重要的基礎設施機構。此次雙方簽署的合作備忘錄,將有助於建構我國資安聯防機制,提升整體防護能力,這是實現蔡總統所提出的「資安即國安」以建立安全可信賴的智慧國家目標的重要一步。據了解,水資源部門是遭受駭客攻擊的重要基礎設施之一,且這些攻擊呈現出愈趨組織化和系統化的趨勢,調查局近年來積極追查各類型的電腦犯罪和網路駭侵案件,發現最近APT駭客集團更是密集鎖定國家的重要基礎設施,希望相關單位及時提供資訊並進行橫向通報,以提高聯防應變速度,降低損害。未來,調查局與台灣自來水公司將根據合作備忘錄建立共同的聯防機制,即時分享資安威脅情資和駭客攻擊手法,同時在資安事件發生時提供調查、追蹤和資安防護建議等專業協助,以實現早期預警、迅速應變和持續維運的目標。王局長強調,調查局作為國家、人民和科技的調查局,此次與自來水公司簽署的合作備忘錄是資安防護工作的具體體現,調查局近年來積極廣招和培育資安專業人才,已累積豐富實務經驗,後續將推動與各領域的關鍵基礎設施、重要機構簽署資安聯防合作備忘錄,攜手參與構建國家資安聯防生態系。調查局與台灣自來水公司簽署「國家資通安全聯防與情資分享合作備忘錄(MOU)」與會人員合影。(圖/臺中市調查處提供)
台灣基礎設施核心技術遭覬覦 最高檢研討會籲公私協力完備法制
最高檢察署與台灣法學會合辦「防護國家關鍵基礎設施與核心技術」研討會,針對電力、水源、交通、通訊及能源供應等重要設施,如遭惡意破壞,將嚴重影響民眾安危,甚至癱瘓國家運作,已嚴重影響國家安全,邀請審檢學各界代表廣泛交換意見。與會代表認為,應完備相關法制,及整合相關公、私機關,方能維護國家安全。最高檢新聞稿指出,目前國家安全正受到各種不同形式的威脅,亟需建立完整的國家基礎專法體系。以今年2月間為例,馬祖海纜遭勾斷損壞,造成網路中斷,影響民生及軍事戰備;2022年美國眾議院議長裴洛西訪台,引發中共高度不滿,多家公共事業、民營企業遭駭客入侵,其中台電遭駭客攻擊較往常增20倍等案例,都值得防範與警惕。與會人士強調,應加強跨境間諜罪偵辦與境外資本之管制,保障我國核心技術,例如2021年可成營業秘密侵害案、2021年大陸地區北京普能微公司涉嫌違反營業秘密法案、2020年大陸地區光纖大廠獵人頭案、2019年德國巴斯夫集團商業間諜案、及2017年意圖域外使用竊取台積電營業秘密案等5案可以看出,我國營業秘密及核心技術正面臨侵害。敵對資本的輸入,也欠缺有效的管制,有待建立體系性的保護措施。台大法律學院教授林鈺雄指出,國安修法應對防護國家關鍵基礎設施、與核心技術邁出一步,但修法結果無法涵蓋想要懲罰的對象。應設立專法並提升行政院國土辦層級。高等法院法官顧正德也建議,應立法保護關鍵基礎設施。嘉義地檢署檢察官陳昱奉表示:資安即國安,檢察機關應與電信、網路監理機關與 ISP業者配合與協助,才是維護國安的重要關鍵。由於目前法令規定,防護國家核心關鍵技術與營業秘密結合,造成構成要件更難證明,防護範圍反而變小,新修法但尚未施行的《國安法》,需要「營密秘密」及「國家核心關鍵技術」都構成時,才會處罰。高檢署檢察官劉怡君指出,「國家核心關鍵技術」才是重點。建議參考南韓《產業技術保護法》,一旦被列入核心清單就管制,如果沒有經過特定程序就輸出,就直接成立責任,若是竊取的方式輸出,那就是第二層的責任。
數位部掛牌將滿1年 李彥秀:別讓抓周淪為抓瞎
行政院數位發展部於2022年8月27日正式掛牌,如今已即將滿1周年,遭質疑未有政績。國民黨台北市議員、2024立委參選人李彥秀今(24日)表示,點麵線平台、領六千元系統,這就是台灣數位升級,並向數位發展部長唐鳳喊話,別讓數位發展部「抓周」最後淪為「抓瞎」!李彥秀今日在臉書發文表示,數位發展部掛牌將滿一年。一年前,蔡英文總統承諾,將帶領台灣邁向「數位國家、智慧島嶼」。數位發展部作為國家數位轉型的引擎,強化全民協力、共創共融,邁向「民主典範、智慧國家」願景。李彥秀指出,首年,數位發展部統籌210億元預算(相當於文化部一年預算),設6司2署還加上「國家資通安全研究院」,且給予極大的用人彈性,採用「大幅提高約聘比例」、「工作經歷為主」機制,600名員額中有300人以約聘方式晉用。要人給人、要錢給錢、要彈性給彈性!但一年後,數位發展部交出點麵線平台、領六千元系統的成績單。數位發展部成立將滿一周年,李彥秀質疑未有作為。(圖/李彥秀臉書)李彥秀表示,說資安即國安,但迄今公務機關個資外洩查不出問題,近三成外館資安不合格;不談遠在天邊的彩虹,最讓民眾詬病的詐騙橫行、資安保護、媒體議價法草案一事無成。數位發展部承諾「已攜手金管會與數位平台溝通,在臉書投放金融廣告,須出具證明是合法立案的金融機構。」結果詐騙廣告越來越多,從張淑芬、胡睿涵、阿土伯到郭台銘無一倖免。李彥秀指出,三個月前,民眾在誠品購買《阿共打來怎麼辦》一書,接到聲稱來自書局回訪,電話中頻頻強調「中國武統是必然」。行政院副院長鄭文燦得知後要求徹查,數位部立馬會同警方到誠品大動作檢查,遭譏為「個資洩露、網路詐騙無動於衷,點麵線部長一聽阿共要打過來,就醒來了」。李彥秀表示,「這就是台灣數位升級,邁向數位國家的馬達(MODA,數位發展英文縮寫)?」一年來,除了「明星部長」外,數位發展部始終找不到「政策方向」、「發展框架」與「數位疆土」,更別說推動台灣發展次世代AI人工智慧、運算能力以及協助企業數位轉型,數位發展部淪為「雷聲大雨點小」的無頭蒼蠅,「爾俸爾祿、民膏民脂」!從「天才駭客」到「天才IT大臣」。李彥秀最後喊話「要救台灣之前,請先救救數位發展部毫無目標的運作與大腦吧。唐鳳部長,請別讓數位發展部『抓周』最後淪為『抓瞎』!」。
立委踢爆 中研院生醫所爆60萬筆資料疑外洩
蔡英文總統10日出席「國家資通安全研究院揭牌典禮」並高喊「資安即國安」,但諷刺的是,近期台灣公私部門資安外洩事件頻傳,無黨籍立委黃國書昨還加碼開記者會質疑,中研院生醫所執行中的「台灣精準醫療計畫(TPMI)」未符合《人體生物資料管理條例》,國人近60萬筆巨量基因及臨床資料有外洩疑慮,恐釀國安危機。黃國書表示,中央研究院生醫所2019年由所長郭沛恩主持台灣精準醫療計畫恐未符合相關法規,有外洩國人病歷及基因資訊的高度風險。他提出5點疑慮,是否依法取得參與者簽署「人體生物資料庫參與者同意書」與告知退出權;近60萬筆巨量基因和臨床資料,是否依《人體生物資料管理條例》規定申請設置生物資料庫保管及使用?如同步持有備份,是否合法?黃國書提到,使用的基因檢測晶片、儀器,在未經主管機關許可下,檢測報告提供作為臨床使用,更讓病患下載利用,可能導致參與者陷於醫療風險;基因及臨床資料未實際去識別性,更未去連結性,有違法之虞,且該計畫接受全外資控股的GeneRight公司協助募資12億的贊助,已與境外公司商業合作。黃國書指出,基因資料不只具龐大商業利益,更衝擊國家安全,中研院生醫所保存的受試者資料除了可能外洩至國外從事商業利用,也可能流出給境外敵對勢力做不當使用,衛福部、中研院等主管機關,應進一步查處。對此,「台灣精準醫療計畫」透過中研院發出聲明,強調計畫單純作為研究使用,參與者資料皆「去識別化」,並無任何商業合作,更無資料外洩國外之情事。衛福部長薛瑞元則表示,衛福部會與中研院、國科會配合,進一步了解詳細狀況,目前也正在修改相關法規,讓人體生物資料庫更為嚴謹。據了解,該計畫目前已暫停。國民黨副發言人呂謦煒質疑,蔡英文揭牌資安院,雖已建立官網,但所有「公開資訊」全部點不進去,沒有法規、計畫、預決算書,搞得跟黑機關一樣;他批評,還有數位部擁有200億高預算,甚至花7000萬元租昂貴地段辦公室,卻眼睜睜看著人民個資遭駭客盜取,政府資安危機重重。
國內資安事件頻傳 民眾黨:放任詐騙成台灣日常
台灣民眾黨今(10)日在臉書上發文表示,去年10月開始,資安事件連環爆,先是2300萬筆戶政資料外洩、健保署高官盜賣民眾個資賺得盆滿缽滿、iRent資料庫未上鎖,40萬筆個資在雲端「裸奔」被看光光,可是政府不願做事,放任詐騙變成台灣日常。民眾黨表示,iRent資安曝險公路總局大動作開罰新台幣20萬元、台北市與新北市交通局各祭出9萬罰鍰,業者也依個資法通知當事人並提出補償。但內政部、健保署個資外洩卻無人可管,部會噤聲絕口不提補救措施。中央敷衍塞責又帶頭不守法,才會造就如今台灣個資不安的困境。民眾黨指出,民眾接詐騙與行銷電話接到手軟,政府眼見擋不住輿論壓力,終於想起被他們擱置3年多的獨立個資管理專責機構,國發會承諾一個月內提出籌備期程。必須提醒,新內閣只剩一年多任期,所以請行政院長陳建仁拿出魄力,切莫以拖待變置民眾個資安全於不顧。民眾黨表示,不知還要等多久,蔡政府「資安即國安」才會從口號進化成具體行動?台灣資安漏洞百出,蔡英文總統卻宣示「資安即國安」進入下一階段,民進黨政府一路走來始終如一,將口號治國的理念貫徹到底。民眾黨曾三度邀集數發部、國發會、資策會研議完善《個資法》,奈何各部會只會互踢皮球,拿不出精進作為。民眾黨表示,所以要呼籲台灣應該比照韓國與新加坡經驗,成立主動調查的獨立監管機關,並參考歐盟「一般資料保護規則」(GDPR)加強事前監督與事後追償力道,唯有補足現行《個資法》才能避免類似事件一再上演。
國家資通安全研究院揭牌 鄭文燦:集武林高手之大成
行政院副院長鄭文燦今(10)日陪同蔡英文總統出席在數位發展部舉行的「國家資通安全研究院揭牌典禮」時表示,蔡總統上任後,政府積極推動數位轉型、數位韌性及數位永續等三大目標,今日國家資通安全研究院成立後,將成為數位部在資安政策、產業及相關服務上最堅強的後盾;針對近來國內公、私部門發生幾起重大個資外洩事件,政府亦已就個資保護規劃短期強化方案,並研議修正《個人資料保護法》,以提高罰則及建立個資保護獨立監督機制。鄭文燦指出,過去6年多來,台灣投入數位建設的經費遠勝以往,而數位部於去年8月成立後,下轄數位產業署及資通安全署等機關,更致力推動數位培力、資安保護及數位韌性等工作,再加上今日成立的國家資通安全研究院,更是集「武林高手」之大成,將成為數位部在資安政策、產業及相關服務上最堅強的後盾。鄭副院長也特別感謝蘇貞昌前院長於任內核定國家資通安全研究院的人力與預算,使該研究院今日得以順利掛牌成立。「資安即國安,加以國人近年來對於個人資料保護極為重視,因此政府部門必須採用新觀念來維護國家關鍵基礎建設及大型資訊系統,使台灣資訊安全及個資保護更臻完善。」鄭文燦說,行政院長陳建仁上任後,特別重視《資通安全管理法》與《個人資料保護法》,已指示他協助落實;此外,蔡總統亦已請行政院在資安軟硬體預算、專責人力及資料存取標準作業流程等方面建立新制度,他相信數位部定能有效達成此一任務。鄭文燦說,近來國內公、私部門發生幾起重大個資外洩事件,如iRent客戶個資外洩一案,政府已依照蔡總統指示,必須強化事前防護、事後處理,以迅速、有效的方式因應。行政院對於強化個資保護,短期做法是責成各機關及其主管事業,在發生重大矚目事件時必須立即通報,並由個資行政檢查小組會同數位部、國家資通安全研究院於3日內進行行政檢查,10日內完成檢查報告,2週內提報到行政院政務委員所主持的專案會議進行報告,以利後續處分決策。鄭文燦對中長期的做法表示,因為《個人資料保護法》已有一段時日未修正,國家發展委員會及數位部皆認為違反個資法處新台幣2萬元以上20萬元以下罰鍰之罰則太輕,因此後續將推動修法工作,提高罰則。此外,針對憲法法庭判決提及,政府需建立個資保護獨立監督機制,並應自判決宣示之日起3年內,制定或修正相關法律。所以在建立個資獨立監督機制的部分,政府也會在後續個資法修法中落實。
再喊「資安即國安」 藍痛批個資已像在網路裸奔 政府做了什麼
總統蔡英文今日再度喊出「資安即國安」,引發國民黨不滿,強調近期民眾、公私部門個人資料外洩事件頻傳,還有駭客盜取疑似戶政資料在網路上兜售,輿論接連猛烈質疑數位發展部花大錢設立卻對於資安防護無作為。國民黨說,總統蔡英文和數位部長唐鳳今天為國家資通安全研究院揭牌,再度聲稱「要打造最強資安國家隊」,但人民個資早在網路上「裸奔」光了,總統卻還說要在「兩年內」輔導政府機關導入三重驗證機制,國民黨想問民進黨政府,過去幾年在幹嘛?資安與個資防護還要等兩年?國民黨副發言人呂謦煒指出,數位發展部被質疑新瓶裝舊酒,擁有兩百億高預算,還花七千萬租昂貴地段辦公室,結果卻眼睜睜看著人民個資遭駭客盜取,政府資安危機重重,難道數位部只是「外包部」,資安防護沒半步?蔡總統說「資安就是持續精進的風險管理」,難道結果只有風險、沒有管理?呂謦煒盤點,近期租車公司、華航等個資外洩事件頻傳,除民間機構外,甚至媒體還報導大筆健保資料遭上網外流,就連戶政資料庫都傳出遭駭,超過2300萬筆疑似戶籍資料遭駭客在國外論壇散布。此外,他還說,對於民間與公家單位的資安風險,數位部不僅未做到事前監督或管理,事後更只會推諉塞責。面對健保資料外洩,唐鳳說不是主管機關但會全力配合偵辦;針對大筆戶政資料疑似外洩,唐鳳也只說「各部會要做好自身個資管理」。如果數位部無法協助公務機關與提供關鍵基礎設施的特定非公務機關處理資安威脅,避免駭客入侵盜取個資,那麼要兩百億預算的數位部又有何用?數位部從公文系統、檔案管理甚至是官網通通外包,難道連資安防護都要外包嗎?又或者數位部的職責其實是推廣麵線訂餐系統?呂謦煒說,蔡英文和唐鳳為資安院揭牌,但資安院其實是舊有之行政院國家資通安全會報技術服務中心,與國家實驗研究院資安卓越中心合併改制而成。何況行政院已經有「資安會報」、數位部有「資安署」、現在又有「資安院」,為什麼已有了這麼多資安單位,卻還是「資不安」、管不好人民的個資與政府的資通安全?揭牌成立的機構是不是新瓶裝舊酒?這麼多機構是不是疊床架屋、政治酬庸?呂謦煒並質疑,資安院雖已建立官網,但是所有「公開資訊」全部點不進去,沒有法規、沒有計畫、沒有預決算書,把自己搞得像黑機關一樣;在「資安訊息及聯防」下的「漏洞新聞」區,不僅沒有國內個資外洩與資安防護漏洞新聞,更幾乎只貼上每個月微軟公司的安全性更新。難道資安院只負責 Windows Update?連官網都做不好,民眾怎能相信資安院能維護資安?
接見資安得獎廠商 蔡英文:將全力推動資安即國安2.0政策
總統蔡英文今(3)日接見資安獎得獎廠商時表示,資安是政府的重要施政目標,所以期待未來有更多的本土廠商推出優質產品一起邁向國際市場,政府也會全力推動資安即國安2.0政策來培養更多人才,提供產業更多支持。總統蔡英文今天上午在總統府接見「2022 Best Choice Award資安獎得獎廠商」並表示,自從上任以來資安就是政府的重要施政目標,政府也會持續推動數位轉型及加強社會各領域的資安韌性。台灣在資安領域有很強的競爭力,許多廠商在晶片安全、端點防護以及網通設備等領域都開發出很好的產品和服務,也已逐漸在國內外的市場嶄露頭角。總統蔡英文表示,感謝台北市電腦商業同業公會多年來以台北國際電腦展Best Choice Award的品牌協助本土廠商行銷並開拓國際市場,這次也用心舉行第一屆BC資安獎,挖掘更多的本土優質產品。總統蔡英文指出,近年來企業數位轉型的腳步越來越快,使得各企業也面臨更高的資安風險,為此網擎和鎧睿公司自主研發郵件資安解決方案,能讓電子商務更加安全。而現在網擎已經在日本郵件安全市場上取得很好成績,鎧睿也從去年就已經開始布局海外市場。總統蔡英文表示,期待未來能有更多的本土的廠商、更多優質的產品一起邁向國際市場,政府也會全力推動資安即國安2.0政策,持續強化組織、完善法治,也會培養更多人才,提供產業更多支持。總統蔡英文表示,期待未來能有更多本土廠商以及更多優質的產品一同邁向國際市場。政府也會全力推動「資安即國安2.0」政策,所以也請產業界領袖一起跟政府打拚,共同帶動整體資安產業發展並建立「堅韌、安全、可信賴的智慧國家」。
陳建仁接閣揆31日上任!在野盤點「5大挑戰」:發放現金首要處理
蔡英文總統27日正式宣布由前副總統陳建仁接棒行政院長蘇貞昌組成新內閣,預計31日正式走馬上任,在野盤點多項重大議題,包括攸關普發6000元現金的全民共享特別條例草案、2300萬筆戶政資料外洩、最低工資法制化、勞保年金改革及礦業法修法,期盼新閣揆能開創新局承擔挑戰。國民黨、民眾黨皆認為,陳內閣上任後,應優先處理先前行政院所提的「疫後強化經濟與社會韌性及全民共享經濟成果特別條例」草案,當前立法院審查時朝野未能取得共識將保留協商,加速普發現金時程,且發現金不得以舉債支應,而時力雖持相同意見,但反對無差別普發,建議給予有條件的現金津貼。在野盤點陳建仁上任5大考驗。(圖/報系資料照)由於陳建仁過去曾任年金改革召集人,2016、2017年推動軍、公、教、勞的年金改革,當前僅勞保改革沒動,眼看勞保年金瀕臨破產,事關1000萬名勞工權益,3大在野黨紛紛呼籲陳建仁既然對此業務不陌生,就沒有理由再拖,應盡速提出改革方案,而非拖到下任政府,若真的不想改革,也應撥補一定金額。蔡英文2016年競選總統時曾提出制定「最低工資法」政見,在野也呼籲勞動部儘快制訂法律,用制度化的公式保障最低工資,而不是一再仰賴執政者的「恩給式」調薪。當前勞動部所提的草案仍在行政院內備查,而《礦業法》修法進度歷經6年,目前仍在經濟委員會審查,時力主張刪去霸王條款,並於新會期完成三讀。在資安方面,近期內政部、健保署接連發生數起國人個資外洩事件,時代力量立法院黨團總召邱顯智披露後,內政部1月公開承認外洩以戶政資料為主,並承諾在2個月內提出調查報告。時力呼籲,除跨部會與數發部資安署合作外,應確實查核各級中央與地方政府機關及國營企業的資安漏洞,別讓「資安即國安」淪為口號。
雄三飛彈零件被送山東維修 民眾黨:民進黨還有臉說抗中保台?
台灣民眾黨今(6)日在臉書上發文表示,國防重要軍武拿去中國維修,滑天下之大稽,民進黨還有臉在說抗中保台?國防資安連環爆,中科院疏於防範,輕描淡寫就想卸責,負責資訊安全的唐鳳部長只管吃麵線跟禁抖音,說好的「資安即國安」都在騙。台灣民眾黨在臉書上發文表示,「護國神器」雄三飛彈重要零件被送到山東維修,中科院拿到報關資料才後知後覺並要求廠商未來不能再犯。重要營區監視器混入中國零組件,中科院也用「無涉國安」輕輕帶過,等到可能洩密才開始保密,國軍資安概念著實令人搖頭。台灣民眾黨表示,早在去年11月審理112年度國防預算時,就已經警告國防部警監系統包括系統解密金鑰與無線鍵盤都是中國產品,國防部當時承諾強化檢驗流程、嚴格把關,最後還是讓「Made in China」電子產品高掛營區。而近來全民國防意識抬頭,國防部與負責武器研發的中科院卻連保密防諜及謹慎驗收都做不好,過去更曾發生在淘寶買天弓飛彈零件及防彈背心卻收到中國製不良品等離譜事件,足見國防部內控失靈。台灣民眾黨表示,資安即國安不能只是精神喊話,認知作戰要努力防範,基本保密工作也不能忘。國防部應上緊發條,徹底改善現有查核機制,所以也請數發部吃完麵線趕緊回神上工,避免「自造破口」,洩漏機密。(圖/翻攝自台灣民眾黨臉書)
2300萬筆國人個資在論壇兜售 民眾黨:唐鳳還在點麵線
日前台灣有2300萬人個資疑似從戶政機關外洩,台灣民眾黨今(18)日於臉書發文表示,數位發展部擁200億納稅錢卻無視全國民眾個資外洩,而部長還在點麵線,「作秀完了也幫執政黨檢討抖音了,數發部是不是應該做正經事了?」。民眾黨指出,民眾以為數位發展部會幫國人守護資安、強化AI應用,但實際上的數發部,坐擁200億納稅錢,卻無視全國民眾個資外洩而部長唐鳳甚至還在點麵線。民眾黨表示,唐鳳部長給了民眾「五告受氣」的體驗,在2300萬人個資疑似從戶政機關外洩的第53天,民眾勞保、兵役、身分證全都露,就連蔡英文總統、陳明通局長、眾多立委都受害,唐部長搞不清輕重緩急,還在為推廣民間早已普及的點餐系統沾沾自喜。民眾黨指出,個資外洩後,唐鳳部長兩手一攤,要求各部會先做好自身個資管理,又表明需要「2年時間」導入新系統,甚至把責任往外推,宣告須再成立保護個資的專責機制、再找一位主委負責。即使資安漏洞已成國安破口,唐部長還是以拖待變,直接打臉政府「資安即國安」口號。民眾黨表示,無力維護資安的數發部不只有閒吃麵線,還有時間幫執政黨討公道,日前民進黨檢討小組歸咎抖音是敗選原因之一,以資安為由,規定行政院轄下公務員使用抖音就懲處,其他4院預計比照辦理,不過民進黨立委卻能擁有抖音帳號,果真是「綠能你不能」。民眾黨指出,沒人在乎官員怎麼吃麵線,而是希望看見政府徹查個資流向、積極防堵,現在麵線吃完了,公帑花掉了,部長作秀完了也幫執政黨檢討抖音了,數發部應該做正經事了。
勒索軟體猖獗 30資安人串聯組協會抗敵
自新冠肺炎疫情爆發後,國內外不斷傳出企業遭駭情事,總統蔡英文不斷呼籲「資安即國安」,因此國發基金也預計在資安產業投資30億元,因此資安界眾多發起人25日正式成立「台灣資安產業發展協會」,期望資安產業未來能將產官學資源相互整合。由30多位國內眾多優秀資安公司(如安華聯網、盧氪賽忒、三甲科技、安創資訊及資策會資安鑄造廠等)及資安社群(如臺灣校園資訊安全推廣暨駭客培育協會、台灣數位安全聯盟、台灣資訊安全聯合發展協會等。)的創辦人或核心成員共同籌組的「台灣資安產業發展協會」25日正式在台中成立。協會第一任理事長由ZUSO如梭世代創辦人洪睿荃高票當選,副理事長由資策會資安鑄造廠總經理毛敬豪擔任,秘書長則是盧氪賽忒執行長沈家生,洪睿荃致詞時表示,台灣資安產業發展協會將以「深耕台灣,拓展全球」為宗旨,以促進台灣資安產業高速發展為目標。同時也與資安學界合作,進行資安技術的研究與資安人才培育,期許將產官學界的能量相互連結串連,一同引領台灣資安產業於未來成為台灣的第二座護國神山科技立委高虹安指出,資安產業發展協會的成立,代表資安不是過去1種服務或者單一公司而已,已經是條供應鏈,對於科技業、製造業而言,內部製程、資料都是公司最珍貴的資產,因此定期掃描漏洞、更新保護資料已經是必要的成本,而不是等到在暗網看到資料時才去堵漏洞,而我也會在立法院全力支持台灣資安的發展。立法院副院長蔡其昌則說,日前辦公室的硬碟被駭客鎖住還勒索加密幣,報案後警方幫助也相當有限,最後也是資安界的朋友協助才能解鎖,顯示資安的已經是台灣相當重要的產業,我們立法院也會監督政府在資安相關發展政策是否有落實。
上市企業遭勒索事件頻傳 資安專家:防駭如防疫
近來國內上市櫃公司遭駭客針對性勒索攻擊或者竊取機敏資訊事件頻傳,證交所遂明訂上市櫃公司發生重大資安事件時,必須發布即時重大訊息;為此逢甲大學EMBA也找來知名資安公司安碁資訊總經理吳乙南到場演講,希望這些企業中堅幹部能了解資安的重要性。總統蔡英文在就職演講時一再強調「資安即國安」,並將「資安卓越」列為台灣「6大核心戰略產業」,顯現出資訊安全對企業與國安的重要性,而在新冠肺炎導致企業加速數位轉型之際,企業對資安的需求更是逐漸提升。逢甲大學EMBA 1日特別邀請到台灣第一間以資訊安全服務為主的上櫃公司安碁資訊(6690)總經理吳乙南蒞臨演講,與逢甲EMBA的師生們分享「台灣企業對資安風險的認知與應變」,並由台灣思科(CISCO)策略長連顥尹擔任引言人。在演講過程中吳乙南依序介紹在世界各國發生的駭客攻擊案例與手法,直指企業如果不重視資安將影響到公司財損與聲譽,同時強調對企業而言,投入資安不是成本而是投資,因此企業每年皆應編列資安預算,並說明遇到駭客攻擊時企業要如何因應。在演講結束前,吳乙南更提到防駭如同防疫,提及落實資安防護的基本三步驟,包括:定期更換密碼(勤洗手)、勿點選不明郵件(戴口罩)、版本自動更新(量體溫)。
總統府電郵遭駭 吳怡農憂心更多機密恐外洩
總統府驚傳電郵遭到駭客入侵,總統蔡英文與行政院長蘇貞昌在四月會面時,準備討論內閣人事改組的文件遭竄改流出,總統府也已向警察局報案,整個案件目前進入偵查程序中。對此,「壯闊台灣」發起人吳怡農今(17)日深夜提出三大結構性問題,並憂心稱,駭客事件發生後,如果問還有多少機密遭洩漏「我不得不沈重地認為恐怕很多,只是還沒有公開」。吳怡農曾任總統府國安會專委,他在臉書表示,目前看來這個事件波及程度限於政治與形象上的傷害。但如果確實涉及總統府電腦或系統的侵駭,絕對是對中央政府機關最深切的警惕,因為「這個行為路徑不但可被執行,而且透過駭客刻意公開,政府才得知、而不得不公開回應」。對於國家機密遭到外洩,吳怡農指出過去四年,當政府不斷地倡導「資安即國安」,這些攻擊未被有效阻絕,甚至幾乎所有核心政府單位的資訊系統都曾被成功滲透,對此他也提出三大問題:第一,政府內部沒有專責單位及人員負責系統安全;第二,政府未對使用者建立安全規範並實施安全教育;最後一點則是政府機關之間沒有「跨部會內網」,他表示,政府機關若只是各行其事而沒有互通有無,並無法杜絕駭客入侵的問題。吳怡農認為,存放國家最機敏資料的機制,應被當成核心問題來面對,危機就是轉機,這次事件是勇敢面對、徹底檢討、改善政府資安,落實「資安即國安」的機會。