周柏雅批 北市資安不堪一擊！

台北市議員周柏雅昨（五）日在議會公告書面質詢指出，柯市長上任後，已發生有十七案資安事件，平均每年發生五至六案。編列二億一千萬元的資安預算，其中由資訊局負責全府共通性資安防護，含骨幹網路防護阻擋、弱點掃描、防毒防護等等，也共花費近七千萬元！花了這些資訊安全防護預算，居然還讓北市的資安如雞蛋般不堪一擊！ 台北市資安事件，許多都是幼稚園級基本款重大疏失，例如今年一月爆發薪資發放管理系統，外界免登入就可下載報表內容，洩漏幾萬筆「姓名、身分證、銀行帳號」，還被行政院點名為三級資安事件（最嚴重四級）。八月志工管理整合平台，洩漏一萬八千名志工個資！市立聯合醫院的網路掛號系統也有「SQL Injection漏洞」，這個漏洞也有可能造成機敏資料外流的風險。資訊局應「密切注意」，如果什麼事都是叫廠商處理，乾脆讓廠商接資訊局長算了。 周柏雅指出，北市府目前共有四百八十個網站，最近一次網站例行檢測時間為七月，共檢測三百七十個網站，就發現二百七十七個嚴重風險。其中充滿個資的地政局，在不動產數位資料庫系統就有一百五十九個風險、市立聯合醫院網路掛號服務有十四個風險、研究發展考核委員會台北市公民參與網也有六個風險！這些風險包括注入攻擊（Injection）、安全組態設定錯誤（Security Misconfiguration）、跨網站腳本攻擊（Cross-Site Scripting）等等。這些風險可以讓駭客將惡意程式碼上傳到網站上，造成民眾只要瀏覽被駭客植入惡意程式的政府網頁，民眾的電腦就會被植入惡意程式，駭客就可以藉此得到民眾電腦的使用者權限，冒用使用者使用網路銀行、郵件、私密網頁內容、對談資訊。民眾常使用的政府網站居然隱含如此之高的漏洞，實在讓人心驚！ 周柏雅表示，這只是簡易的資安測試，就發現那麼多弱點，資訊局應該儘速將每個網站進行滲透測試，更重要的，也是最基本的是網站、網頁、系統在上線之前就要先進行檢測，更進一步強化資安。北市府自己訂的「台北市政府行動應用軟體（APP）服務發展作業原則」也應規定所有APP都該定期檢測資安漏洞！ 花大錢給廠商作政府該作的專業資安，但資安漏洞頻生，資安在市府根本就是奢求！若市民受到損害，求償無門還要再加倍掏出自己腰包來處理後續資安補強，這不是市民永遠為刀殂肉嗎？強烈要求市府資安要訂下每洩漏一筆分級個資，就要無條件賠償一定金額！