資安設備
」資安法上路五年 藍委質疑預算暴增仍難防駭客攻擊
台灣證券交易所、主計總處、憲兵指揮部、兆豐金與彰銀等45個網站遭親俄駭客攻擊,上周四下午陸續傳出當機、連不上網頁。政院要求數發部密切掌握應處,並表達嚴厲譴責,不過,國民黨立委葉元之卻發現,全國公部門資安預算連年增加,結果面對最基礎的DDos(分散式阻斷服務),政府機關卻依然不堪一擊,令人懷疑資安預算究竟用在哪裡?資安法從2019年元旦起實施,前總統蔡英文曾宣誓推動「資安即國安」國家戰略,還在政院下成立資安處、數發部,僅建立資安監控中心(SOC)和資安情資分享中心(ISAC)就花了納稅人25億資安專案經費,結果政府部門網站主機每次遇到網路攻擊,就依然「掉漆」。葉元之指出,以媒體披露無法連上網站的主計總處為例,112年主計資訊處編列3018萬預算,用來做機房維運、核心系統備援、主計資訊系統維運平台、網路設備、資安設備、個人電腦、印表機等週邊設備之軟硬體維護,本總處對外服務之全球資訊網、防毒軟體、資安監控防護及防火牆等更新維護。到了113年,系統與資安預算資訊服務費成長到4990萬,114年預算又再度膨脹到6483萬,近三年連年成長一千餘萬,結果資安依舊出包,這些數字還都沒有加計耗材預算與機房維運、網路費,真不知道資安成長預算到底都花到哪裡去了。葉元之進一步指出,網路上有很多資安公司推出的免費網路數位攻擊地圖,從這些工具可以發現每天全世界各地都有數以萬起的網路攻擊,但只要做好資安管理、定時更新軟硬體系統,理論上說,應可防範大部分攻擊,而且我國資安預算連續成長,政府對資安的投入和預算增加,原本應該帶來更強大的防護能力。但他質疑,從這次的駭客攻擊事件來看,政府機關似乎還沒有做好足夠的準備。如果預算不斷投入資安領域,但卻沒有產生實際效益,這樣的資安預算成長就顯得徒具形式,對國家整體的網路安全沒有實質幫助,資安預算究竟買了些什麼,用到哪裡去,他會嚴格把關,也呼籲國人一起重視。
數發經濟2部長COMPUTEX宣示 親曝產業目標「台股選股趨勢」密碼
總統賴清德520上任以來第一場公開出席致詞活動,即是台北市國際電腦展COMPUTEX,不僅三度提及「投資台灣」產業AI應用化等目標,並允諾政府一定會穩定供電、多元綠電、建立屬於台灣資料中心、提供超級電腦服務、培養科技業人才等三大保證。賴清德出席台北市國際電腦展COMPUTEX開幕典禮致詞前,除了外貿協會董事長黃志芳、台北市電腦公會理事長彭双浪分別代表主辦單位歡迎各界致詞外,數位發展部長黃彥男、經濟部長郭智輝也上台說明政府的相關政策,賴清德還特別強調「是數位發展部」非數位部。經濟部長郭智輝(中)4日強調,產創條例修法擴大列入投資抵減產業項目。(圖/周志龍攝)數位發展部長黃彥男表示,今年台北國際電腦展的主題「Connecting AI」,顯示AI愈加人工智慧化很重要的一項工具,數位發展部幫政府、企業做數位轉型,除了推動「打詐、數位韌性、數位展業」三項目標,還有即是要在二年內也就是到2026年,要將「軟體、AI、資安」作為經濟發展的三項重點,打造為新的兆元產業,展現台灣豐厚的科技實力。經濟部長郭智輝則表示,從台北國際電腦展精湛科技、豐沛展覽內容來看,可預見將來,AI覆蓋食衣住行育樂與醫療,台灣位於AI關鍵地位,電腦展正式宣告AI時代的來臨,過去夢想日後實現,每天的生活一早有智慧管家提醒起床,無人機送早餐,智慧電動車載送我們上班,智慧醫療跟蹤我們一天的健康狀況。在數位發展、低碳洪流之下,從半導體基礎技術、筆電、伺服器、智慧手機、車用電子等,飛速發展,精密晶片不可或缺,9成以上高階晶片在台灣生產,製程領先全球,台灣扮演關鍵角色。經濟部為掌握生成式AI關鍵技術產業革命機會,協助IC產業投入晶片系統研發,加速產業技術創新,確保IC設計業者在五年內能成為前二名,除了在創新方案對焦在高階運算、高階AI半導體技術,在產創條例第10條之一的修法上,保留智慧機械、5G、資安設備服務等列入投資抵減,並擴大到購買、節能減碳、AI應用、IC設計、工具等。並協助中小企業海外布局採取「以大帶小」方式,由大企業帶著中小企業,讓海外台商在布局海外例如日本、美國、歐盟、東南亞等形成生產聚落,降低中小企業發展障礙,共同邁向2025年淨零;台灣的美食、觀光、健康與美容也是有利產業,要將台灣好產品行銷到全世界。賴清德開幕典禮致詞前參觀英特爾、MIS微星科技、Acer宏碁、ASUS華碩電腦等攤位展場,了解AI相關應用創新服務與產品。
公部門禁危害國安產品 數位部:逾千個列管
數位發展部修正《資安法》,禁止公部門使用「危害國家資通安全產品」,但擔憂產品曝光後,可改名規避,因此清單都未公開。資安署長謝翠娟23日在立法院備詢表示,清單約有10個大項,1000多個產品列管中,由於部分產品仍有資料庫查詢需求,因此採限制性使用。立委洪孟楷質詢提及,數位部修正資安法是否有定義什麼是危害國家資安產品?有無產品清單?數位部長唐鳳表示,目前已盤點中共可實質控制產品,包含軟硬體和服務,若有部會使用就會限期汰換,透過斷網措施,確保後續不會有影響。謝翠娟補充,1000多個列管產品中,資料庫與電子書約占1/5,目前列管產品仍未汰換,主因是有查詢對岸學術資料庫和論文等需求,但仍須經資安長同意後才可使用。洪孟楷質疑,中下游廠商使用部分是否也要列管?如台鐵車站螢幕先前曾有駭客入侵,台鐵就推給下游廠商。唐鳳說,目前「各機關對危害國家資通安全產品限制使用原則」已修正,公眾場域都比照公務場域須納管。唐鳳表示,公部門共同供應契約中,超過2個機關使用的產品較無問題,若是全新產品、公務系統沒用過的,可詢問數位部,該部將檢視是否受中共實質管控。立委林俊憲擔憂,政府1年採購20萬件資安設備,資安法未訂定相關罰則,使用機關若無落實盤點設備或自行採用,如何知道有問題的產品。對此,唐鳳也表示,數位部已跟公共工程委員會討論,將資安相關規範放進新的採購契約內,只要連上公用網路就會發現;謝翠娟也說,各機關設備每月都要上網更新漏洞,如此一來,便知使用的產品有沒有問題。
防堵個資外洩!政院拍板設個資三級獨立專責機關
防堵個資外洩,行政院短中長期做法。近來個資外洩層出不窮,從iRent到微風集團,企業紛紛中標,連政府都意識到資安危機。為了有效防堵,行政院日前開會定調,短期先以強化機制處理為主,中長期則要設立個資第三級獨立機關,最快本會期送立法院審議,1年後有望成立。針對重大矚目個資事件的處理方式,行政院陸續召開跨部會議討論,擬定短中長期做法。短期將採先前已公布新建立的機制,須於3日內進行行政檢查,10日內完成報告並報告,隨後政院要在兩周內召開會議檢討。此外,考量目前個資法罰則太輕,上限僅20萬,國發會因為是個資法的法律解釋機關,將推動修法。至於個資法裁罰要提高到多少?官員指出,目前裁罰是2到20萬元,且只要限期改善就不罰,但考量應有改善程度的認定,將進行分級;至於開罰額度尚待討論,必須考慮與其他專法一致性,還要盤點國內相關法規,預計本會期提出。至於中長期,行政院與相關部會已有共識,傾向讓個資獨立監督機制走向「機關化」,且應是第三級獨立機關,設在行政院底下,類似運安會的存在。知情人士說,該機關有獨立的預算跟人力,才能落實個資監督並進行裁罰。至於成立時間,根據憲法法庭去年8月對健保資料庫使用違憲爭議判決,需在3年內修法或另立專法保障隱私權,也就是114年8月前,「但預計會比這時間更快」。據悉,國發會最快將於這會期提出組織法送立法院審議,預計1到2年時間可以成立個資的獨立三級機關。實際上,個資法是普通法,規範資料處理及利用,可管公務跟非公務機關;至於資安法是特別法,比較嚴格,就資安設備導致的資安外洩做規範,且僅針對公務機關及特定非公務機關(關鍵基礎設施、國營事業跟政府管轄法人)。一旦國發會推動個資法修法,也會連動推動資安法的修法;目前資安法為數位部管轄,部長唐鳳日前便透露將重新檢視資安法納管範圍。據了解,根據個資法,如果民間發生重大案件,主管機關必須介入作行政檢查,而數位部正在研議,若民間也發生重大資安疑慮事件,要不要比照個資法,讓資安法也能明訂由政府主動介入。惟仍要考慮民間跟公家機關的界線及處理方式,公家還是需比民間嚴格,所以目前仍在討論階段。
遭駭不重訊4/製造業資安太脆弱 立委:國家隊要動起來
台灣最重大的資安事件發生在二○一八年八月,受害者還是「護國神山」台積電。當時由於一名操作人員未依照SOP掃毒新進機台,導致名為「WannaCry」的勒索軟體趁隙侵入,造成三大廠區部分機台停擺三天,損失高達新台幣五十二億元。台積電二〇一八年發生新機台被勒索軟體入侵危機,所幸在四十五小時內就處理妥當。(中)台積電總裁魏哲家(圖/報系資料庫)一名資安人員感嘆,許多製造業大喊「工業四.○」口號的同時,卻仍把老舊設備系統連上網,這就是悲劇的開始,「因為這些老舊的設備系統,真的很脆弱,相當容易被發現資安漏洞。很多台灣企業只顧著賺錢,而罔顧建置資安設備,維護資安對他們來說,就是成本的額外支出。」立委高虹安指出,自去年新冠疫情爆發後,線上購物、宅經濟、雲端等服務倍增,卻也讓駭客有了可乘之機,甚至有駭客組織提供「勒索軟體即服務」(RaaS)的攻擊服務,大肆招攬生意。2018年,台積電的新進機台中藏有WannaCry勒索軟體(圖),導致3大廠區停擺,損失52億元。(圖/讀者提供)高虹安呼籲,行政院既然在去年底已成立「資安國家隊」,就應該盡速針對勒索軟體氾濫的問題,提出解決方案,如果不快點動起來,勢必嚴重影響高科技產業的發展,駭客攻擊除了會損害企業商譽而失去訂單,也會造成股價波動,影響民生經濟。
總統府資安破網 許毓仁:沒錢作訓練
總統府內部會議記錄疑似遭駭客洩漏,府方稱該資料遭變造過,不過這次事件也引發外界關注政府資安問題。國民黨前立委許毓仁表示,上一屆他就針對資安問題質詢過,當時行政院資安處表達「沒有預算」做公務體系的資安訓練,導致從下到上是一個資安素養不足的狀況,間接造成門戶大開。許毓仁表示,兩周前中油被駭客攻擊癱瘓電腦系統、前天總統府疑似被駭客入侵,內部機密文件外洩,且不論是否人為疏失或是 故意洩露,又或是真的被入侵?這兩件事情看似無關,但是有其連鎖效應 (chain reaction),而就資訊戰爭的角度來說,已經達成目的了,就是造成心理焦慮 (mental anxiety)。對於駭客事件,許毓仁說他並不意外,因為國家根本沒有編列足夠的資源和預算做好資安防護。上一屆行政院在訂立《資通安全法》時,規範舉凡國內的關鍵基礎設施都要加強資安防備,而中油被駭客入侵,是屬於能源範疇,也就是已經入侵到國家的核心關鍵基礎設施,行政院資安處是否沒有察覺到呢?是否失職?攻擊的層次有多重呢?入侵了幾層呢?當時在訂定《資通安全法》時,他就要求除了八大關鍵基礎設施納入外, 更應該給予各部門單位足夠的資安預算,用於編列資安設備、人才補強以及系統建置,否則訂立這樣的法,如同「沒有牙齒的老虎」。許毓仁表示,520總統就職即將到來,會不會還有有更近一步的攻擊呢?這次的駭客入侵是不是只是一個前哨信號呢?希望政府國安單位能夠正視這樣的訊息,恐怕這不是單一個點的突破,而是整個系統性風險發生的前兆。
紓困慢半拍 花1.8億建置明年9月才上線
行政院提出紓困預算送交立法院審查,不過內容卻讓立委看不下去。國民黨立委吳怡玎點出移民署編預算要建置「旅客訂位及行程分析系統」,高達1.8億的鉅額經費令她難以理解,更誇張的是,該系統分3年建置,總經費要2.9億,系統可以上線運作要等到2021年9月,「這是哪門子紓困?」移民署於追加紓困預算中編列1億8658萬建置「旅客訂位及行程分析系統」,目的是強化境外人流管理追蹤旅客旅遊史,並進行大數據分析,早出染疫旅客造訪點。其中資料庫管理、作業系統採購及開發要價5480萬,硬體及資安設備6978萬,分析規劃及監審費用6200萬。而該系統預計分成三年來建置,總經費要價2億9458萬,第一年預計辦理基礎建置1.8億,第二年辦理旅客資料備份、歸戶及犯罪行為分析等項目,經費5100萬,第三年辦理異地備援系統建置及擴機關資料接介要5700萬,除第一年由追加預算編列外,其他將由年度預算支應。系統上線運作時間預計是明年9月。吳怡玎認為,立法院急著要通過「紓困預算」,之所以有急迫性,是因為對於生活出現問題的民眾要緊急提供「紓困」,現在卻要我們幫他們通過一個明年9月才能上線的系統,其價格更是令人懷疑,以衛福部的「擴充個案查找系統」來說,他們的建置費用也才1600多萬,移民署竟然要花費1.8億?吳怡玎也質疑,我們無法評估明年9月之後的疫情將會怎麼發展,但顯然這麼長時間的建置跟開發不符合「紓困」的緊急性。且過去之所以會擔心境外旅客隱匿旅遊史,是擔心他去過疫區卻隱匿,但現在幾乎各大主要國家幾乎都是疫區了,還有探查旅遊史的必要性?
IoT世代萬物皆可駭! TTC推物聯網資安聯合檢測中心
隨著萬物聯網的物聯網(IoT)世代漸漸成為未來生活的環境,這些連接網路的資訊設備安全性就不得不加入重視,在看到下一波資訊社會發展的重要的話題,由財團法人電信技術中心(TTC)與桃園市政府合作、攜手多家國內外廠商,於虎頭山創新園區成立「物聯網資安聯合檢測中心」為資安設備安全把關。TTC指出,隨著物聯網的蓬勃發展,也將帶來「萬物皆可駭」的資安隱憂,一般民眾及企業所使用的物聯網設備,如Wi-Fi、網路攝影機、印表機、投影機、醫療設備、農業器具等,都有可能遭受駭客攻擊,攻擊除了影響設備正常操作、財物損失及個人隱私外洩外,嚴重可能淪為駭客工具導致更嚴重攻擊事件。美國緊急醫療研究機構(Emergency Care Research Institute, ECRI)2019年報告指出,駭客攻擊是10大醫療科技危害之首,駭客可藉由遠端滲透醫療系統或裝置,造成醫療設備效能降低、竊取個人及醫療資訊等。TTC自107年起執行國家發展委員會「亞洲.矽谷-強化物聯網資安防護裝備」計畫,物聯網資安聯合檢測中心為第二期計畫,營運團隊為大同世界科技及互聯安睿資通,選定在桃園市虎頭山創新園區做為中心據點。目前參與物聯網資安聯合檢測中心產官學包括TTC、桃園市經漸發展局、國家通訊傳播委員會(NCC)、交通大學、優利國際(UL)、中華資安國際、大同世界科技、互聯安睿資通、世大福智科技、尚承科技等,都是國內資安領域領導業者。