資安即國安 政府應帶頭把關
記者羅添斌/特稿
行政院清查各個政府機關設立的行動軟體APP,赫然發現在一四四個APP中,高達九十八個具有高風險的資安弱點,不僅民眾下載APP後會有個資外洩的疑慮,政府公務資料甚至是機密等級的資訊,是否也因此處於不設防狀態,政府千萬不可掉以輕心,才能有效維護資安。
資安風險無處不在,從早期由電信事業、金融單位大量流出遭不肖人士販售的客戶個資,到政府單位保險業務所產生的政府部門及民眾個資也曾遭到外洩,甚至曾引發政府政風、反情報部門的重視,而在行動軟體APP興起後,APP有其下載使用上的便利,但其程式設計是否足以保護民眾個資以及官方公務機密,卻長期沒有受到政府單位重視。
根據行政院最新的清查結果,目前共計有七十三個機關單位、設立一四四個提供民眾下載的APP,民代及媒體過去關注的焦點,主要集中在哪個APP下載次數最高,哪些是乏人問津、浪費公帑,卻未將關注焦點放在APP程式設計是否有足夠的安全機制上,也正因為如此,政府部門本身的敏感性資料處理、連線安全以及憑證有效性等方面,都有可能出現難以想像的問題。
各政府機關設置的行動軟體APP,絕大多數是委託民間廠商來執行,政府各單位只看廠商設計的APP是否符合業務需求,並未考量到是否符合資安防護標準,事實上,過去也很少有政府單位會將廠商設計的APP,在上架前就提供政府主管部門檢測,而是主辦單位一經核可後,就直接上架,而這就是陷入資安風險的罩門所在。
行政院決定未來新增的官方APP都要經資安檢測通過後才能上架,經濟部工業局也將規劃適時將APP資安檢測服務納入共同供應採購契約,使各個政府機關依需求採購APP資安檢測服務,對高度資安風險的政府APP而言,可說是亡羊補牢,雖然遲了一些,但仍是必走的一步。