周柏雅批 北市資安不堪一擊!

【記者傅裕隆/台北報導】
台灣新生報

台北市議員周柏雅昨(五)日在議會公告書面質詢指出,柯市長上任後,已發生有十七案資安事件,平均每年發生五至六案。編列二億一千萬元的資安預算,其中由資訊局負責全府共通性資安防護,含骨幹網路防護阻擋、弱點掃描、防毒防護等等,也共花費近七千萬元!花了這些資訊安全防護預算,居然還讓北市的資安如雞蛋般不堪一擊!

台北市資安事件,許多都是幼稚園級基本款重大疏失,例如今年一月爆發薪資發放管理系統,外界免登入就可下載報表內容,洩漏幾萬筆「姓名、身分證、銀行帳號」,還被行政院點名為三級資安事件(最嚴重四級)。八月志工管理整合平台,洩漏一萬八千名志工個資!市立聯合醫院的網路掛號系統也有「SQL Injection漏洞」,這個漏洞也有可能造成機敏資料外流的風險。資訊局應「密切注意」,如果什麼事都是叫廠商處理,乾脆讓廠商接資訊局長算了。

周柏雅指出,北市府目前共有四百八十個網站,最近一次網站例行檢測時間為七月,共檢測三百七十個網站,就發現二百七十七個嚴重風險。其中充滿個資的地政局,在不動產數位資料庫系統就有一百五十九個風險、市立聯合醫院網路掛號服務有十四個風險、研究發展考核委員會台北市公民參與網也有六個風險!這些風險包括注入攻擊(Injection)、安全組態設定錯誤(Security Misconfiguration)、跨網站腳本攻擊(Cross-Site Scripting)等等。這些風險可以讓駭客將惡意程式碼上傳到網站上,造成民眾只要瀏覽被駭客植入惡意程式的政府網頁,民眾的電腦就會被植入惡意程式,駭客就可以藉此得到民眾電腦的使用者權限,冒用使用者使用網路銀行、郵件、私密網頁內容、對談資訊。民眾常使用的政府網站居然隱含如此之高的漏洞,實在讓人心驚!

周柏雅表示,這只是簡易的資安測試,就發現那麼多弱點,資訊局應該儘速將每個網站進行滲透測試,更重要的,也是最基本的是網站、網頁、系統在上線之前就要先進行檢測,更進一步強化資安。北市府自己訂的「台北市政府行動應用軟體(APP)服務發展作業原則」也應規定所有APP都該定期檢測資安漏洞!

花大錢給廠商作政府該作的專業資安,但資安漏洞頻生,資安在市府根本就是奢求!若市民受到損害,求償無門還要再加倍掏出自己腰包來處理後續資安補強,這不是市民永遠為刀殂肉嗎?強烈要求市府資安要訂下每洩漏一筆分級個資,就要無條件賠償一定金額!

接下來要閱讀的內容