《觀點》NCC網站現資安漏洞 唐鳳不用負責嗎?
2023/05/25 14:48
繼財政部電子發票平台現全台公司發給同一組密碼的資安漏洞,NCC(國家通訊傳播委員會)(24)日也被國民黨台北市議員徐巧芯直播踢爆,網站申購國外3C產品報關文件存在密碼缺失,可以無限看到民眾報單資料,包含姓名、身分證號、戶籍、居住地、印章等完整個資,徐巧芯呼籲數位發展部部長唐鳳、NCC主委陳耀祥出來說明。
根據我國《資通安全管理法》,現數發部有責任稽查公務機關資安通訊功能是否存在漏洞,以財政部電子發票平台為例,該平台啟用12年,發給公司行號同一組密碼直到2023年5月9日才被白帽駭客巡查出來,在過去數發部尚未成立之前,行政院資安署曾在2018年進行查核,並未查出該漏洞,立法院交通委員會已要求數發部、財政部對此案重新提出檢討報告。
數發部長唐鳳在5月22日赴交通委員會進行財政部電子發票漏洞專案報告時指出,未來對公務機關網站建置會採取零信任架構,減少密碼使用等相關相應作為。
而此次NCC報關漏洞導致民眾個資再度在網路上「裸奔」,是否是數發部督察不周?參與財政部電子發票平台補破網歷程的資安界人士指出,事實上不管是財政部電子發票平台使用同一組密碼導致企業買賣訊息外洩,或是此次NCC報單密碼漏洞,都不是數發部稽核時會稽查的項目,財政部電子發票平台使用同一組密碼這類低級錯誤,與數位發展部所管轄資通訊安全、硬體測試等功能存在落差,其責任歸屬應該是網站承包商未對採購該服務的機關,善盡資安告知、管理之責。
因此,在「密碼之亂」的財政部及國家通訊傳播委員會所現的網站資安漏洞當中,唐鳳當然可以給予安全技術指引,但不是每件事都要數發部長唐鳳出來負責。資安界人士認為,應公告政府網站承包商經營歷程,除了監督政府採購,亦能讓承包商負起相應責任。
NCC網站出現密碼漏洞,民代卻廣而告之取得個資方式。圖/翻攝自徐巧芯臉書
《民報》作為長期追蹤個資外洩、資安漏洞的媒體,認為資安低級錯誤補強為全民之責,包括爆料的民意代表,都應該有個資、資安保護的概念。以財政部電子發票系統漏洞為例,時代力量立委邱顯智早已接獲該平台漏洞,其辦公室以多次行文財政部並提出改善建議為基礎,待財政部網站疏漏補強後,才公開說明及監督。本報及READr亦採同樣立場做新聞寫作規劃。
台北市議員徐巧芯則在政治利益最大化的脈絡下公開NCC網站個資外洩問題,在NCC進行補強之前,可能已讓不少有心人士輕易按照步驟取得人民個資。
本報期許民代在進行監督之責時,也該考量公眾利益最大化才是從政唯一考量,此低級錯誤雖不必由數位發展部一肩扛起責任,但包括主管個資的國家發展委員會、資訊安全的數位發展部對未來政府機關的個資保存、資安督察應該攜手合作,不該把責任推給未來的個資保護機關。包括政府在蒐集個人資料時,蒐集範圍該多詳盡?公務機關不小心外洩人民個資時,該有什麼樣的罰則及相應措施,都應該再次向民眾說清楚。
