監委表示,中國廠牌通訊晶片可能潛藏資安風險,資安風險不分國籍,亟待建立並發布通用之資安驗證或規管措施等語,無人機已陸續成為政府重大活動標案之標的,但資安的法遵,驗證及輔導機制闕如,政府採購規定未臻嚴謹完整,商品檢驗未納2公斤以下無人機、群飛活動場域管理鬆散、進口管理欠缺專屬貨品分類號列等問題,凸顯管理盲點。
監委提到,2022年11月起行政院密集召集會議因應時,相關機關始就相關議題進行釐清,並初步建置資安檢測機制及其他配套;此外,交通部及數位部針對法規授權、投標須知範本所列主管機關、檢測標準發布機關方式之立場及見解不一,當時尚待行政院介入協調,有權責不清問題,行政院應督同相關部會持續檢討改進。
此外,監委表示,故宮若採較嚴謹之採購條款,或可降低案內無人機使用中國製通訊模組之風險,然未採招標規定,應檢討改進。本案凸顯產業面之供應鏈安全問題,自資通安全管理法施行以來,政府長期欠缺合理可行之認定機制,容易導致機關誤觸,應檢討改進,有賴行政院資通安全會報研謀合理可行之管理方式。
監委另指出,資安院已指出無人載具全生命週期資通安全管理之重要性,行政院也曾有相關指示,可明全生命週期管理不容忽視。然而調查發現,目前尚無具體之漏洞通報及後續更新或召回機制,包括機關分工模式亦未臻明朗,應檢討改進。
另外,監委指出,由於射頻識別相當於無人機的身分證而可加以識別,對於飛航安全管理相當重要;行政院也曾請民航局研議要求無人機註冊登錄項目包含射頻識別,然而國內技術及政策均未臻成熟,行政院允應督同交通部民用航空局及數位部檢討改進。