記者陳柏翰/台北報導
國內在去年10月爆出全國戶役政資料被公然放上國外網站販售,至今無法確定外流單位。民眾黨立法院黨團27日指出,「資通安全管理法」現有條文不夠明確,風險評估標準也缺乏詳細規範,呼籲政府補足法規缺口、落實風險評估,才能預防類似案件一再發生。
民眾黨立法院黨團立委吳欣盈、邱臣遠、陳琬惠27日舉辦「個資外洩不能忍,資通安全不能等」記者會。吳欣盈表示,資訊安全維護可分為「計算機和資料網路(IT)」與工業控制系統的「操作和程序控制(OT)」兩大面向,但目前「資通安全管理法」多偏重於IT,未就OT予以明確規範。
因此,民眾黨團倡議「資通法」修正草案應參考新加坡「網路安全法2018」、以及經濟部標準檢驗局CNS66243標準,完備OT規範。
吳欣盈說,做好資通安全,才能與國際接軌,例如歐盟「一般資料保護規則(GDPR)」,同時對個資及資通安全進行嚴密規範,適用範圍可能涉及歐盟公民的所有廠商。然而,數位發展部做為資通法主管機關,到目前為止還停留在修法意見徵集階段,遲遲沒有提出具體草案。台灣與歐盟經貿往來非常密切,若是不加緊腳步將會嚴重影響台灣競爭力。
邱臣遠指出,可能外流全國戶役政資料的單位有11個,由誰外洩、如何外洩至今還沒有查出來。換言之,資安缺口逾半年都沒有堵上,政府機關可能存在資安系統被入侵卻不自知的問題,林右昌部長卻在調查結果出爐前就斷言,「百分之百不是內政部流出」,是否只是為了粉飾太平,讓人細思極恐。
他表示,民眾黨團向來重視資安,也努力檢視現行法規漏洞,目前「資通安全管理法」並無詳細規範風險評估標準,缺乏風險評估也導致執行上產生邏輯矛盾。此外,詳細劃分主關機關的責任與義務,也是落實法規重要的一環,民眾黨團推動「資通安全管理法第三條及第七條條文修正草案」,呼籲朝野齊心及早通過,只有防堵現有資安不足,才能提升提升台灣資通產業競爭力。
立委陳琬惠表示,工業控制系統(ICS)從早期封閉的運作環境,逐步與外部網路相連,製造業因而成為被勒索或攻擊的目標,過去攻擊主要針對IT領域,但資安風險逐漸從IT領域外溢到OT領域,近年OT領域攻擊事件大增,尤以供應鏈攻擊最為常見,不僅影響企業生產和營運,更直接影響國家基礎設施安全,呼籲政府必須高度重視這樣的威脅。
陳琬惠認為,政府應協助企業建立「零信任架構(Zero Trust)」安全機制,簡單來說是「永不信任,始終驗證」,透過持續驗證與控管,最小化潛在風險,協助企業建立更安全、更可靠的資訊安全防護基礎,呼籲政府協助並督促企業制定合適的零信任策略及架構,特別是針對提供公共服務的企業,確保其具有足夠資安防護能力,以保障民眾的人身、財產安全。
民眾黨團呼籲,面對層出不同的個資外洩與資通案件,政府不能只會推卸責任,更要設法完備法規漏洞,修訂「資通安全管理法」不能再拖,同時也要協助企業建立合適的資安防護基礎,才能夠順利與國際接軌,提升台灣資通產業競爭力。
