戶籍外洩案朝野抓錯重點? 資安界:應增加電磁紀錄保管權責

全國2300萬筆戶籍資料自《民報》去年10月追蹤以來,和朝野立委聯合質詢下已促成內政部取消光碟資料交換、《個資法》即將修法等成果。然而,針對數發部只針對今年骨幹網路做清查,未處理協助追溯一節及國家發展委員僅就「非公務機關」提出個資外洩事件處理方法,朝野立委全未督促各部會給「對」答案。

目前至關重要的是,日前調查局已公開調查結果,雖鎖定不法人士使用的虛擬錢包地址,但很有可能只鎖定到車手(分贓人頭)。資安界人士已點出,此資料擁2300萬戶籍訊息,卻只賣15萬台幣,是因為此份為二手資料。我國真正戶籍資料還掉在某個人手中,但調查局卻因為「續查其他使用戶役政資料或介接機關,惟資訊系統、網通及資安設備,囿於稽核紀錄距107年間已逾最大留存限制,致乏追查數位跡證路線」無法追查。

而本報取得數位發展部「數位建設」預算1億5千8百萬元解凍報告中,也僅向立院報告經本部資通安全署檢視111年該3個機關(內政部、勞動部勞工保險局及臺灣證券交易所)資安事件,未有法遵辦理事項時逾限情形,亦無通報與資通系統個資外洩事件;另檢視政府骨幹網路流量偵測紀錄,該3個機關亦無連線惡意中繼站情形。但此報告可謂,敷衍了事,台灣2300萬筆戶籍資料流出時間,經白帽駭客追查是107年4月,數發部並未協助相關回溯的部分。

此外,內政部口頭報告中曾提及,107年有中央機關進入介接戶籍資料,但因為沒有log(電磁紀錄)檔,無法追查在何處出現漏洞,口徑與調查局一致。本報也詢問熟諳政府運作資安人士,他強調擁有全台戶籍資料系統的單位不只有內政部,包括衛福部、六都的幾座城市都有全國戶政資料,更誇張的是,這幾個部會、城市之間介接交換資料,都以「打招呼」方式處理,甚至不用行文。

該名資安人士說,這唯一處理的方法,就是一改現在由介接機關保存log檔,且保存時間不長的問題,增加相關預算,確保我國政府資料交換檔案紀錄能完整留存和追溯。資安界人士呼籲,應從四方面思考,包括:把公務機關也納入督管對象、優化我國政府資訊交換安全通道、增加資料交換電磁紀錄介接雙方責任並延長保管時間、並降低集體訴訟門檻。