離開
進入自由日日shoot》政府資安洞很大!技檢10機關 6個不及格
近年政府機關資安事件統計表
〔記者陳鈺馥/台北報導〕行政院為強化政府機關資安防護工作,在「資通安全管理法」二○一九年上路實施後,明定公務機關應稽核其所屬或監督機關的資安維護計畫實施情形。根據一○八年度政院公務機關資安稽核結果,政院資安單位「技術檢測」十個重點機關,高達六個機關評分不及格;立委痛批,中國對台駭客攻擊不斷,連資安都做不好,要如何抵擋敵對國家對我方竊密?
七項技術檢測 三項實地稽核
去年受稽機關有法務部、經濟部、文化部、內政部、金管會、行政院主計總處、宜蘭縣政府、彰化縣政府、台東縣政府、金門縣政府十個中央及地方機關;由政院國家資通安全會報所派專業人員,進行「使用者電腦安全檢測」、「網路惡意活動檢視」、「核心資通系統安全檢測」、「網路架構檢測 」、「網域主機安全防護檢測」、「物聯網設備檢測」、「組態設定安全檢測」等技術檢測,以及「策略面」、「管理面」、「技術面」實地稽核。
離譜的是,十個機關稽核結果總平均僅六十九.三分,技術檢測平均六十二.九九分,實地稽核平均分數七十二.○一分。在技術檢測方面,僅兩機關達七十五分以上,八個機關未達七十五分,其中有六個機關評分低於六十分,資安防護嚴重不及格。
網路架構 物聯網分數最低
尤其在「網路架構檢測」及「物聯網設備檢測」二個項目,平均分數僅卅七.三分、十八分,顯示我國政府機關在物聯網(Internet of Things,IoT)裝置上,存在嚴重的資安風險。在實地查核方面,包含「資安業務運作規劃及落實」與「資通系統開發及維護安全」二項成績,也都在六十幾分及格邊緣。
報告分析,受稽查的三個A級機關平均分數七十九.三四分,表現不俗;其餘七個B級機關,平均分數六十五分,整體評分達七十五分的只有一個,其餘六個未達七十五分,更有兩個低於六十分不及格。
「趕緊把洞給補起來!」民進黨立委賴瑞隆昨受訪批評,中國及其駭客無所不用其極要竊取機密資料,政府應重視網路及資訊安全,如果連最基本的資安都做不好,要如何防止敵對國家竊取資料?台灣要如何成為資訊大國?評鑑不及格的機關,應立刻將資安漏洞補起來,莫讓中國有機可乘。
針對稽核結果,政院在公務機關資安稽核報告表示,目前各機關已依稽核結果,完成短期改善建議,部分改善建議屬中長期規劃,各機關將配合採分年、分階段方式調整,也將持續督促各機關改善資安防護作業,並持續追蹤各改善建議的辦理情形。
行政院指出,資安稽核發現,受稽機關普遍未依規定配置專職人員,該院刻正研擬協助各機關補實資安專職人力的措施,並持續推動在公務人員晉用管道增列資通安全職系;另外為提升公務人力的資安職能,刻正發展公務人員資安專職人力學習地圖,持續完備資安職能訓練機構制度。
面對中國網攻,政院資安單位「技術檢測」十個重點機關,高達六個機關評分不及格。(美編製圖)
