離開
進入公視片庫誤刪等出包頻傳 監院糾正文化部及NCC
公視於一年內發生遭勒索病毒攻擊及片庫資料遭誤刪高達41萬餘筆的重大資安事件,監委因此提案糾正文化部及通傳會(NCC),經監察院教文委員會於11日通過提案。(資料照)
〔記者吳書緯/台北報導〕監委范巽綠、賴鼎銘今指出,公視於一年內,連續發生遭勒索病毒攻擊及片庫資料遭誤刪高達41萬餘筆的重大資安事件,凸顯資通安全管理作業鬆散,主管機關對於公視資安經費及專業人力不足、資安管理制度鬆散等等問題,均未善盡督導職責,難辭怠失之咎,因此提案糾正文化部及通傳會(NCC),並經監察院教文委員會於11日通過提案。
查案監委表示,財團法人公共電視基金會除發生重大資安事件外,在人事管理、公司治理及問責機制等議題上,有更深一層檢視評估並積極改善之必要;基金會第七屆董事會及經營團隊於5月20日上任後已研提諸多人事管理改善措施,並擘劃數位轉型願景與目標,相關落實推動,併請文化部、數位發展部督同公視基金會檢討改進,使公視得以成為通傳領域數位轉型及資安之標竿。
查案監委提到,通傳會(所涉業務已移撥數位發展部)為通訊傳播領域關鍵基礎設施之目的事業主管機關,對於公視遭受勒索病毒攻擊事件,未依規於時限內通報之失,竟未警覺公視在資訊安全管理制度(ISMS)管理之鬆散,復對公視數位新聞片庫資料畫面,遭委外資訊維護廠商全數刪除之資通安全事件。
查案監委發現,通傳會竟低估公視片庫資料重要性,除事前對公視「新聞片庫系統列為普級」、「第三方稽核指出備份政策風險」及「委外作業管理鬆散」等潛在風險,未能及早發現並積極督導改善。
查案監委指出,通傳會另於事件發生後,亦未能考量本案對公視營運及文化資產之衝擊,率爾同意通報為「第一級資通安全事件」,顯未善盡「資通安全法」、「資通安全事件通報及應變辦法」及「國家通訊傳播委員會所管特定非公務機關資通安全管理作業辦法」等法定職責。
查案監委表示指出,這些作為將置國家「關鍵基礎設施」(CIP;Critical Infrastructure Protection)於高風險之中,足徵公視或通傳會均僅站在媒體播送功能角度思考而賦予關鍵基礎設施及資安責任等級A級機關之法遵,卻未認知到內容之重要性,核均有疏失,因此糾正通傳會,但本案所涉業務已移撥數位發展部,後續請數位部處理相關事宜。
