民進黨立委劉世芳1日在立法院交通委員會質詢數位發展部長唐鳳有關資安議題。劉世芳提到8月中國駭客攻擊臺鐵、超商電子看板事件,「發生時,只是把插頭拔掉,這樣叫處理資安?」未具體懲處或勸說業者,未來關鍵時刻,恐再次發生。
劉世芳指出,近年來境外敵對勢力網攻次數逐年增加,根據數位部資安署提供的資料顯示,2018年至2022年10月,政府機關遭中國、俄羅斯網軍和網路犯罪組織侵擾,平均每月達3千萬次攻擊。截至今年10月,資安事件數539件。唐鳳回應,今年狀況與去年類似,主要是8月初美國眾議院議長裴洛西訪台那波高峰。
針對境外敵對勢力網攻態樣,一種是電信服務與網通設備漏洞,利用中國人、中企申租台灣電信業者網路服務主機,作為中繼跳板,且使用非中國品牌網通設備等(如台製路由器、儲存裝置等)新興攻擊手段。第二種,攻擊關鍵基礎設施,如2020年5月中油遭駭客入侵,以及大型金融業遭勒索、個資遭竊販售、科研智慧財產、醫療生技大廠等受到駭客威脅情事。
「零信任架構」唐鳳盼民間也接受驗證
針對境外敵對勢力網攻,唐鳳表示,數位部目前已提供一套「零信任架構」讓各部會網站來驗證資安,NCC、國科會、經濟部、中華電信等單位也開始實施。非官方實作架構部分,則跟國內外資安、公有雲廠商溝通需求,並逐步接受驗證。
針對8月網攻事件,臺鐵、超商電子看板顯示錯假訊息,事情發生迄今3、4個月,沒有進一步懲處、偵辦。劉世芳說,「當時7-11作法,只是把插頭拔掉而已,這樣叫處理資安?」
NCC主委陳耀祥表示,目前為止,沒看到電信業者需要裁罰。唐鳳則以臺鐵為例,臺鐵電子看板沒接網路,不在危害國家安全原則。
劉世芳要身為主管機關的數位部「不要太客氣」,應「直接要求」設備、軟體商執行,甚至主動去關切、警告,不然未來關鍵時刻,如總統大選又發生重大資安事件,恐衝擊台灣與國際韌性。
唐鳳強調,「各機關對危害國家資通安全產品限制使用原則」已生效,未來任何有傳播能力的裝置,包含LED看板、電子看板、廣播系統、火災警告等,只要在公共場域,視同連線公務網路,不能用危害國家安全裝置。
民間無人機群飛認驗證 明年3月有望解決
此外,無人機資安主管單位,唐鳳表示,目前由數位部轄下TTC電信技術中心負責,有足夠認驗證「能量」,目前公部門無人機群飛活動都需送驗證,但問題是「沒規定民間無人機群飛前一定要送驗證」,可望明年3月解決彌補此空窗。