資安即國安? 政府督管企業個資外洩從嚴 卻未納入公務機關
行政院國家發展委員會今(2日)在行政院院會中針對「非公務機關」重大個資外洩事件處理方式進行報告,擬定未來應對方式,例如個資外洩須於3日內進行行政檢查,10日內完成報告並報告,隨後政院要在兩周內召開會議檢討、提高罰則超過20萬以及政府預計在113年5月前成立個資保護獨立專責機關。(相關報導)
近期因企業資安危機頻傳,包括華航、虎航、雄獅旅行社、麗台科技、iRent、微風會員資料等,從總統蔡英文到新內閣也對資安做出重大宣示,要求國發會盡快報告個資專責機關及相關法規修改等時程。不過迄今,國發會今公布的此份報告,是針對「非公務機關」個資外洩權責進行監管,對於我國政府機構發生重大個資外洩相關處置流程,可謂「隻字未提」。例如《民報》長期追查戶政資料外洩相關調查流程是否優化?另外,還有健保署主秘不正常調閱健保資料等系統警示等。
國民黨立院黨團今早召開記者會時,也盤點近年來公務機關資料外洩情形,包含105年5月中華郵政商城1.7萬筆個資遭駭、105年10月勞動部就業通網站3萬筆個資遭駭、106年2月外交部網站1萬多筆個資外洩、107年8月台北市衛生局298萬筆個資外洩、108年6月銓敘部59萬筆公務員個資外洩、110年11月財政部國稅局記帳士個資外洩、111年11月2300萬筆戶政資料遭駭上網販售、112年1月健保署前主秘違法盜賣健保個資等。
國民黨立委賴士葆更點出,政府部門現在有80萬5千個網頁,沒有使用安全憑證,也就是存在不安全頁面,包括數發部都有不安全網站。所謂安全網站頁面為SSL 或是 TLS,是一個能夠讓個人啟用網站上 HTTPS 功能的憑證。憑證不但能啟用網站上的 HTTPS 功能,以確保使用者在網站中提供的資訊能夠安全傳送,並且不被第三方看見,這也代表著,當使用者必須登入的網站後台,並在使用者發佈訊息時,使用者的名稱及密碼都不會被竊取。
例如,具有HTTPS 網站,就是有安全憑證網站。但政府多數單位的網站,只有http,沒有安全憑證,包括內政部營建署、經濟部大型附件系統、文化部上傳系統、農委會、國立海洋博物館、公寓大廈管理報備系統等等……均無安全憑證,賴士葆質疑,這些資訊優化等作為,唐鳳作為數位發展部部長,難道不管了嗎?也難怪國人個資,被駭客拿到暗網四處兜售。
資安界人士也指出,政府依舊沒有回應,當公務機關外洩國民個資時,有何因應作為,包括調查局日前雖出具新聞稿指出已經鎖定販賣我國戶籍資料人士虛擬帳號戶頭,但事實上可能只抓到「車手」(分贓人頭),因為機關之間介接電磁紀錄保存時間已過,難以追查外洩源頭,以及個資外洩受害集體訴訟門檻過高等問題,政府一概未回應。
資安界人士呼籲,應從四方面再思考此份報告,包括:把公務機關也納入督管對象、優化我國政府資訊交換安全通道、增加資料交換電磁紀錄介接雙方責任並延長保管時間、並降低集體訴訟門檻。
國發會提高非公務機關個資外洩罰則。圖/國發會報告
獨立隱私專責機關預計於113年5月蔡英文總統任期屆滿之前成立。圖/國發會報告