資安法
」資安法上路五年 藍委質疑預算暴增仍難防駭客攻擊
台灣證券交易所、主計總處、憲兵指揮部、兆豐金與彰銀等45個網站遭親俄駭客攻擊,上周四下午陸續傳出當機、連不上網頁。政院要求數發部密切掌握應處,並表達嚴厲譴責,不過,國民黨立委葉元之卻發現,全國公部門資安預算連年增加,結果面對最基礎的DDos(分散式阻斷服務),政府機關卻依然不堪一擊,令人懷疑資安預算究竟用在哪裡?資安法從2019年元旦起實施,前總統蔡英文曾宣誓推動「資安即國安」國家戰略,還在政院下成立資安處、數發部,僅建立資安監控中心(SOC)和資安情資分享中心(ISAC)就花了納稅人25億資安專案經費,結果政府部門網站主機每次遇到網路攻擊,就依然「掉漆」。葉元之指出,以媒體披露無法連上網站的主計總處為例,112年主計資訊處編列3018萬預算,用來做機房維運、核心系統備援、主計資訊系統維運平台、網路設備、資安設備、個人電腦、印表機等週邊設備之軟硬體維護,本總處對外服務之全球資訊網、防毒軟體、資安監控防護及防火牆等更新維護。到了113年,系統與資安預算資訊服務費成長到4990萬,114年預算又再度膨脹到6483萬,近三年連年成長一千餘萬,結果資安依舊出包,這些數字還都沒有加計耗材預算與機房維運、網路費,真不知道資安成長預算到底都花到哪裡去了。葉元之進一步指出,網路上有很多資安公司推出的免費網路數位攻擊地圖,從這些工具可以發現每天全世界各地都有數以萬起的網路攻擊,但只要做好資安管理、定時更新軟硬體系統,理論上說,應可防範大部分攻擊,而且我國資安預算連續成長,政府對資安的投入和預算增加,原本應該帶來更強大的防護能力。但他質疑,從這次的駭客攻擊事件來看,政府機關似乎還沒有做好足夠的準備。如果預算不斷投入資安領域,但卻沒有產生實際效益,這樣的資安預算成長就顯得徒具形式,對國家整體的網路安全沒有實質幫助,資安預算究竟買了些什麼,用到哪裡去,他會嚴格把關,也呼籲國人一起重視。
公部門禁危害國安產品 數位部:逾千個列管
數位發展部修正《資安法》,禁止公部門使用「危害國家資通安全產品」,但擔憂產品曝光後,可改名規避,因此清單都未公開。資安署長謝翠娟23日在立法院備詢表示,清單約有10個大項,1000多個產品列管中,由於部分產品仍有資料庫查詢需求,因此採限制性使用。立委洪孟楷質詢提及,數位部修正資安法是否有定義什麼是危害國家資安產品?有無產品清單?數位部長唐鳳表示,目前已盤點中共可實質控制產品,包含軟硬體和服務,若有部會使用就會限期汰換,透過斷網措施,確保後續不會有影響。謝翠娟補充,1000多個列管產品中,資料庫與電子書約占1/5,目前列管產品仍未汰換,主因是有查詢對岸學術資料庫和論文等需求,但仍須經資安長同意後才可使用。洪孟楷質疑,中下游廠商使用部分是否也要列管?如台鐵車站螢幕先前曾有駭客入侵,台鐵就推給下游廠商。唐鳳說,目前「各機關對危害國家資通安全產品限制使用原則」已修正,公眾場域都比照公務場域須納管。唐鳳表示,公部門共同供應契約中,超過2個機關使用的產品較無問題,若是全新產品、公務系統沒用過的,可詢問數位部,該部將檢視是否受中共實質管控。立委林俊憲擔憂,政府1年採購20萬件資安設備,資安法未訂定相關罰則,使用機關若無落實盤點設備或自行採用,如何知道有問題的產品。對此,唐鳳也表示,數位部已跟公共工程委員會討論,將資安相關規範放進新的採購契約內,只要連上公用網路就會發現;謝翠娟也說,各機關設備每月都要上網更新漏洞,如此一來,便知使用的產品有沒有問題。
立院再開臨時會 民眾黨呼籲性平三法加重罰則、延長追溯期
立法院今(17)日將開臨時會,民眾黨立法院黨團今日在議場前召開記者會,表示將針對《外役監條例》、性平三法及台美21世紀貿易倡議的審議,以及因應打詐的《資安法》和《個資法》,持續推動修法工作。立委邱臣遠表示,這次臨時會是針對性平三法來做修法,還有民眾黨團強力主張的台美21世紀貿易倡議應送到國會審查,至於最近外界非常關注的外役監,民眾黨也有提出相關版本,邱臣遠坦言,過去7年民進黨全面執政,作為國會多數,有些法案就是不排審,光是外役監條例,各黨團及各委員就有25個版本,藍綠兩黨在修法推動上非常消極,民眾黨呼籲針對外役監遴選制度及過程必須要公開透明。至於國人非常關心的詐騙和個資外洩問題,邱臣遠直言,編預算震天響但是效果卻不顯著,行政團隊可以說是最大的詐騙國家隊,目前台灣面臨低薪通膨高房價,年輕人四不一沒有,出門還要怕被車撞,接電話還要怕被詐騙,這就是目前大家生活的窘境,民眾黨也將針對資通安全管理法和個資保護法提出相關修法版本,民進黨天天喊著要做世界的台灣,不希望這只是個口號。立委賴香伶則表示,過去3年多來,執政黨在立法院不斷輾壓小黨,一言堂的態度造成修法上排審不順,重要法案不排,要過的法案在臨時會擠進來,這就是現在執政黨對待民意,最粗暴最傲慢的心態,民眾黨希望在21世紀臺美貿易倡議、性平三法修法和打詐問題上,各政黨務必嚴審、回應民意,而性別三法修法共同原則就是加重罰則、做出權勢性騷定義、延長追溯期,至於行政院版本懲罰性賠償金,若雇主、校長或機關首長為加害人,民事懲罰性賠償金額將提高到3至5倍,民眾黨希望能夠修法回歸單純化,提高罰則、延長追溯期,同時地方政府建立性騷擾防治中心,讓受害者和加害者都能夠了解自己權益,也希望「職場性別平等指標」能夠入法。立委張其祿表示,這次臨時會除了性平三法之外,民眾黨先前所呼籲的21世紀台美貿易倡議必須經過審議,連美國自己都在審議,還有所謂快軌制度,台灣哪有那麼厲害可以不用審,大國跟小國之間經貿協定不可能「只有糖果」,務必要審慎討論,希望執政黨可以懸崖勒馬,也期盼未來國際經貿協定可以制度化。
「企業會員資料看光光」電子發票平台爆資安漏洞 財政部亡羊補牢
財政部「電子發票整合服務平台」爆發重大資安漏洞,民眾發現,只要輸入企業統編、政府提供預設密碼,就可以瀏覽企業會員資料,受影響企業共有超過130家上市櫃公司。數位部及財政部今赴立院交通委員會就此事做專案報告,數位部表示,將宣導各機關應全面盤點業管系統,強化系統帳號密碼強度及管理制度,避免類似情事再次發生。國內1789家上市櫃公司,其中78家上市、56家上櫃公司企業沿用政府提供的預設密碼,其中以光電業者最多,其次為半導體、電子零組件業;此外,連中華郵政、台鐵等國營事業或行政法人等組織,也有相同問題,資安管理門戶洞開。財政部財政資訊中心官員表示,公部門單位開立電子發票資料主要為行政支出及紀念品項目,無涉國防採購。且從得知問題後,財政資訊中心即亡羊補牢,著手改善。數位部報告指出,台灣電腦網路危機處理與協調中心在10日轉知數位部資安署,資安署立即聯繫財政資訊中心確認及應處,並要求財資中心進行資安事件通報,及督促相關改善措施,包含預設密碼隨機產生、強制更改仍存有預設密碼帳號,以及首次登入強制變更密碼等。財政部官員呼籲,部分仍使用政府預設密碼的單位,能盡快進行變更。數位部表示,財資中心將在今日行政院國家資通安全會報期間,報告這件事件應處及強化作法,作為各機關借鏡。此外,為精進資安防護作為,將宣導各機關全面盤點業管系統,強化系統帳號密碼強度及管理制度,並於機關資安稽核項目中,將系統密碼合宜性納入稽核項目,以協助機關強化資安防護。數位部強調,藉由與各機關聯防及快速通報應變作為,以強化我國資安防護韌性,並將持續推動資安法遵各項防護規範,以及精進資通安全管理措施,並透過適當風險管理機制,以維護國家整體資通安全。
防堵個資外洩!政院拍板設個資三級獨立專責機關
防堵個資外洩,行政院短中長期做法。近來個資外洩層出不窮,從iRent到微風集團,企業紛紛中標,連政府都意識到資安危機。為了有效防堵,行政院日前開會定調,短期先以強化機制處理為主,中長期則要設立個資第三級獨立機關,最快本會期送立法院審議,1年後有望成立。針對重大矚目個資事件的處理方式,行政院陸續召開跨部會議討論,擬定短中長期做法。短期將採先前已公布新建立的機制,須於3日內進行行政檢查,10日內完成報告並報告,隨後政院要在兩周內召開會議檢討。此外,考量目前個資法罰則太輕,上限僅20萬,國發會因為是個資法的法律解釋機關,將推動修法。至於個資法裁罰要提高到多少?官員指出,目前裁罰是2到20萬元,且只要限期改善就不罰,但考量應有改善程度的認定,將進行分級;至於開罰額度尚待討論,必須考慮與其他專法一致性,還要盤點國內相關法規,預計本會期提出。至於中長期,行政院與相關部會已有共識,傾向讓個資獨立監督機制走向「機關化」,且應是第三級獨立機關,設在行政院底下,類似運安會的存在。知情人士說,該機關有獨立的預算跟人力,才能落實個資監督並進行裁罰。至於成立時間,根據憲法法庭去年8月對健保資料庫使用違憲爭議判決,需在3年內修法或另立專法保障隱私權,也就是114年8月前,「但預計會比這時間更快」。據悉,國發會最快將於這會期提出組織法送立法院審議,預計1到2年時間可以成立個資的獨立三級機關。實際上,個資法是普通法,規範資料處理及利用,可管公務跟非公務機關;至於資安法是特別法,比較嚴格,就資安設備導致的資安外洩做規範,且僅針對公務機關及特定非公務機關(關鍵基礎設施、國營事業跟政府管轄法人)。一旦國發會推動個資法修法,也會連動推動資安法的修法;目前資安法為數位部管轄,部長唐鳳日前便透露將重新檢視資安法納管範圍。據了解,根據個資法,如果民間發生重大案件,主管機關必須介入作行政檢查,而數位部正在研議,若民間也發生重大資安疑慮事件,要不要比照個資法,讓資安法也能明訂由政府主動介入。惟仍要考慮民間跟公家機關的界線及處理方式,公家還是需比民間嚴格,所以目前仍在討論階段。
樂天銀行率先拿下純網銀執照 預估明年1月開張營業
樂天國際商業銀行已取得金管會核發營業執照,為首間核發執照的純網銀,預計完成開業前相關準備作業擇吉日開業,國票金董事長魏啟林指出,估算可能再花一個半月,最快可望2021年1月中,正式開業試營運。樂天國際商業銀行是由日本樂天集團和國票金控合資成立,資本額100億元,國票金控持股49%、樂天集團包括樂天銀行、樂天信用卡等持股51%組成。國票金控董事長魏啟林表示,國票金控本年度營運持續成長,累計前11個月稅後盈餘29億3800萬元,較去年同期增加20.68%,每股稅後盈餘1.02元。樂天國際商業銀行取得營業執照,對國票金控來說,將能夠提供給客戶更完整與多樣的專業金融服務,有助提升國票金控經營綜效。樂天國際商業銀行董事長將由第一金控前總經理、國際票券公司前董事簡明仁擔任,擁有豐富銀行經驗的專業經理人,總經理暨董事佐伯和彥是日本樂天銀行資安權威專家。董事成員包括國票金控董事長魏啟林、永井啓之、石井英治。日方董事成員均有多年純網銀的營運經驗,專責純網銀營運執行、國際業務開發及資安法遵,對經營方向的引領及資安風險防範之實務經驗,已有豐厚的積累,可完整傳遞日本純網銀的成功經驗。(圖/報系資料照片)國票金控董事長魏啟林強調,在與日本樂天銀行共同設立樂天國際商業銀行(純網銀)的進度方面,,由於樂天已有逾500萬會員,還有棒球隊等匯整為一個生態圈,在「不燒錢」的前提下,樂天國際商業銀行已完成公司設立登記,持續完成籌設工作及取得營業執照。魏啟林並表示,樂天國際商業銀行開業後,以創新的銀行經營模式,運用日本樂天集團已建立布局的豐沛「全球生態圈」資源,包括電商、信用卡、電子書等,不同的服務與事業群透過「樂天點數」串連所有使用者,提供跨越國際的服務,未來樂天國際商業銀行的客戶也能夠同享「樂天超級點數」所帶來的各種好處,並將秉持經營純網銀的成功經驗,堅持負責任的態度,為全民提供「安心、安全、便利」的純網銀服務。
資安已是世界趨勢 高虹安指須立法規範個資授權與弊端
科技時代來臨,面對科技演進,聯網技術也帶動社會大眾的生活便利性,民眾黨立委高虹安就表示,隨著聯網裝置普及,除了享受便利之外,也同時得面臨個人資訊外洩或遭到濫用的風險。對此,她昨(18)日下午也與國立政治大學的劉文卿教授與物聯網安全平台聯盟(SIOTPC)的野田啟一上席所員見面,了解日本最新的個人資料與物聯網資訊安全策略。目前歐美國家已有一般資料保護規範和 物聯網裝置資安法,日本也加緊腳步、開始訂立相關法制 ,高虹安指出,物聯網時代的必須要有更進步的資安標準和認證法規「已是世界趨勢」,思考未來如在在享受便利科技的同時,也要了解如何保護自身資訊安全。高虹安指出,最近伴隨新冠肺炎的防疫工作,也看到政府應用各種官方資料庫與個人裝置足跡紀錄,有效追蹤疫情風險並防杜擴散。她認為,在為政府的防疫效率喝采的同時,「以立法者的角色,也必須思考未來更完整的個人資料授權與防弊機制」,她也對此感謝兩位專家也在這方面提供的建議。高虹安強調,全球資通訊硬體供應鏈,台灣佔有舉足輕重地位,國際趨勢未來可能漸漸朝向裝置產品出口須符合當地資料保護法規,所以台灣廠商也需儘快瞭解最新動態、才能掌握先機。