▲邱臣遠(左起)、吳欣盈、陳琬惠。(圖/記者屠惠剛攝)
記者蘇晏男/台北報導
2022年10月爆出全國戶役政資料被公然放上國外網站販售,至今無法確定外流單位。民眾黨立法院黨團今(27日)舉行記者會,指出《資通安全管理法》現有條文不夠明確,風險評估標準也缺乏詳細規範,政府不能只會推諉塞責,卻不幫資安補破網,而是應補足法規缺口、落實風險評估,才能預防類似案件一再發生。
民眾黨團總召邱臣遠指出,可能外流全國戶役政資料的單位有11個,但政府至今尚未查出由誰外洩、如何外洩。換言之,資安缺口逾半年都沒有堵上,政府機關可能存在資安系統被入侵卻不自知的問題,但內政部長林右昌卻在調查結果出爐前就斷言,「百分之百不是內政部流出」,是否只是為了粉飾太平,讓人細思極恐。
邱臣遠表示,目前《資通安全管理法》並無詳細規範風險評估標準,缺乏風險評估也導致執行上產生邏輯矛盾。此外,詳細劃分主關機關的責任與義務,也是落實法規重要的一環,民眾黨團推動「資通安全管理法第三條及第七條條文修正草案」,呼籲朝野齊心及早通過,只有防堵現有資安不足,才能提升提升台灣資通產業競爭力。
立委吳欣盈表示,資訊安全維護可分為「計算機和資料網路」(Information Technology,IT)與工業控制系統的「操作和程序控制」(Operational Technology,OT)兩大面向,然而現行《資通安全管理法》多偏重於IT,未就OT予以明確規範。
吳欣盈說,做好資通安全,才能與國際接軌,例如歐盟《一般資料保護規則》(GDPR)同時對個資及資通安全進行嚴密規範,適用範圍可能涉及歐盟公民的所有廠商,但數位發展部做為資通法主管機關,到目前為止還停留在修法意見徵集階段,遲遲沒有提出具體草案,恐將嚴重影響台灣競爭力。
立委陳琬惠表示,工業控制系統(Industrial control system,ICS)從早期封閉的運作環境,逐步與外部網路相連,製造業因而成為被勒索或攻擊的目標,過去攻擊主要針對IT領域,但資安風險逐漸從IT領域外溢到OT領域,近年OT領域攻擊事件大增,尤以供應鏈攻擊最為常見,不僅影響企業生產和營運,更直接影響國家基礎設施安全,呼籲政府必須高度重視這樣的威脅。
陳琬惠指出,政府應協助企業建立「零信任架構」(Zero Trust)安全機制,簡單來說是「永不信任,始終驗證」,透過持續驗證與控管,最小化潛在風險,協助企業建立更安全、更可靠的資訊安全防護基礎,呼籲政府協助並督促企業制定合適的零信任策略及架構,特別是針對提供公共服務的企業,確保其具有足夠資安防護能力,以保障民眾的人身、財產安全。
民眾黨團呼籲,面對層出不同的個資外洩與資通案件,政府不能只會推卸責任,更要設法完備法規漏洞,修訂《資通安全管理法》不能再拖,同時也要協助企業建立合適的資安防護基礎,才能夠順利與國際接軌,提升台灣資通產業競爭力。
讀者迴響