今年8月初,美國聯邦眾議院議長裴洛西(Nancy Pelosi)抵台訪問前,國內多個政府網站、教育單位和超商廣告看板遭中國駭客入侵!當時政府資安面臨極大挑戰,針對民眾也相當關注的資安問題,民進黨立委劉世芳今(1日)在立法院交通委員會詢問數位發展部部長唐鳳後續處理狀況。唐鳳表示,目前已提供一套「零信任架構」讓各部會網站來驗證資安。
立委劉世芳指出,近年來境外敵對勢力網攻次數逐年增加,根據數位部資安署提供的資料,從2018年至2022年10月,政府機關屢遭中國、俄羅斯網軍和網路犯罪組織侵擾,平均每月達3千萬次攻擊。截至今年10月,資安事件數更達539件,今年底前是否會更多,甚至突破600件甚至700件?對此,唐鳳部長回答,目前看起來,今年狀況與去年較為類似,主要就是8月初的那波高峰。
目前境外敵對勢力網攻威脅樣態主要分為幾種,其一為電信服務與網通設備漏洞,也就是利用中國人、中國企業申租台灣電信業者網路服務主機,並以其當作中繼跳板做網路攻擊,且使用非中國品牌網通設備等(如台製路由器、儲存裝置等)弱點,成為新興攻擊手段。其次,是關鍵基礎設施遭到攻擊,最明顯的例子就是2020年5月中油遭駭客入侵,也有大型金融業遭勒索的案例。此外,還有民眾個資遭竊販售及科研智慧財產、醫療生技大廠都曾受威脅的種種案例。
立委劉世芳指出,若要透過低軌衛星發展太空科技產業,把競爭力移向太空領域,但資安問題若不解決,就算發展的再好,也會被別人拿去用。
唐鳳則回應,目前數位部及政府主管機關,現在都採用一套全新資安:「零信任架構」,目前已開始實施,其他機構如NCC、國科會、經濟部,甚至隸屬於交通部管轄的中華電信,也都開始實施這套架構,並非僅限於公務機關能使用。這套「零信任架構」由數位部設計,在實作架構時,是跟國內資安廠商以及國際上如公有雲廠商溝通實際需求,並請相關單位逐步接受驗證。
對於唐鳳的處理方式,劉世芳直言,部長處理的方式「太客氣了」,接下來要碰到總統大選,屆時若又發生境外網攻事件要如何處理,這對台灣甚至國際上都將造成嚴重影響。
此外,在錯假訊息部分,8月初包括總統府、外交部、桃園機場、國防部、台鐵、7-11的官網或電子看板都因為被入侵而顯示錯假訊息,劉世芳指出,目前已經3個月過去了。目前NCC、數位部有沒有進行任何行政處罰,或移送偵查至相關單位處理。
NCC主委陳耀祥回答,目前為止,沒有看到電信業者需要裁罰的部分。
唐鳳指出,以台鐵例子而言,因為電子看板沒有介接到網路,因此不在危害國家安全的原則規範下。
而行政院在2019年訂定的「各機關對危害國家資通安全產品限制使用原則」,要求公務機關不要使用中國資通產品,目前也已經修改完畢。在最新生效的原則中,任何有傳播能力的裝置,包含電子看板、火災告警、聲音傳播等,只要是在公共場域,就不能運用危害國家安全的任何傳播裝置。
此外,無人機資安部分,目前民航局只管轄無人機的體積、重量、飛行高度、飛行場域,至於無人機的資安到底由哪個部會管轄?唐鳳表示,目前由數位部轄下的TTC電信技術中心來負責,能達到無人機的「認驗證」能量,目前公部門舉辦的無人機活動,都必須送驗證,除了公部門之外,未來民間若有無人機群飛活動需申請認驗證,亦可望在明年3月解決。
