潛藏防護漏洞! 審計部:全台3處軟體園區、70處產業園區未納CI
〔記者陳鈺馥/台北報導〕審計部113年度中央政府總決算審核報告揭露,政府已明定9大領域關鍵基礎設施,但部分機關未依篩選原則納列關鍵基礎設施,全台3處軟體園區及約70處產業園區,均未經納入為關鍵基礎設施(Critical Infrastructure, CI)。
審計部決算報告指出,國家關鍵基礎設施遭攻擊或災損時,有造成如下影響者,應列為關鍵基礎設施:一、足以直接或間接造成大規模人口傷亡或避難遷者;二、足以直接或間接造成重大經濟損失者。三、足以直接或間接影響其他關鍵基礎設施營運之能力者;四、足以影響政府功能持續運作、民心士氣、社會安定者。
報告指出,行政院國土安全辦公室配合國家政策方向,於今年2月修正最新版關鍵基礎設施領域分類表,新增攸關社會民生韌性的「糧食」為第9大主領域,以及其項下「農糧」及」「食品加工製造」2項次領域。
報告質疑,惟部分機關未依篩選原則納列關鍵基礎設施,或同領域間欠缺相同納列標準,例如科學園區與工業區主領域,項下納列由經濟部主管的軟體園區與工業區次領域,惟全台3處軟體園區及約70處產業園區均未經納列為關鍵基礎設施。
另外,國科會為科學與生醫園區次領域主管機關,已將全台17處科學園區逾半數納列為關鍵基礎設施。由於主領域協調機關國科會未依關鍵基礎設施指導綱要規定訂定共同風險管理標準,致該會與經濟部等2個次領域主管機關認列關鍵基礎設施的標準存有不一,潛藏防護漏洞風險,經函請行政院督促所屬檢討改善。
另外,資安維護方面,審計部報告指出,數位發展部尚未訂定通訊傳播領域工業控制系統之資安防護基準,又緊急救援與醫院領域資通系統的防護基準適用範圍未臻周延,應研謀改善。
報告提及,國科會建置科學園區資安資訊分享與分析中心平台,以強化科學園區資安防護能力,尚有部分園區廠商未建置平台會員帳號,或未登錄平台獲取相關資訊。