《觀點》從數發部網站爆資安漏洞 看蔡政府國安笑話
2023/05/26 16:54
網路媒體《上報》今(26)日獨家披露資安平台「HITCON ZeroDay」查出數位發展部建置的「無障礙網路空間服務網」有嚴重漏洞,在標章申請修改的網頁中,檢測功能附檔驗證不嚴謹,導致有心人可透過「改包」的方式繞過檔名限制,進而將惡意程式植入主機中。不過漏洞在上月初通報之後,已在本月確認修補完成。
對於公務、非公務機關資安漏洞及個資外洩事件層出不窮,幾乎到了天天出包的地步,不免讓人回想,總統蔡英文上任時信誓旦旦稱「資安即國安」、花大筆預算成立數位發展部、各類打詐辦公室乃是笑話一場,若是能把資安列進2024年蔡英文執政歷史定位當中,或可稱之為「漏洞總統」也不為過。
自本報揭露國人2300萬戶籍資料外洩,相關資料在內政部、國發會、數發部以資料規格不符、主管機關權責不同等互相推託的社會氛圍下,今年初再爆和泰租車iRent涵蓋用戶個資、信用卡資料庫保存不利,整包資料在網路上裸奔,被國外資安人士通報才解決之後,引發民怨沸騰。後包括華航、微風、蝦皮、誠品等案連環爆,讓陳建仁內閣在就任之時,除了資安研究院揭牌,更是信誓旦旦會修《個資法》、成立個資保護機關來保障國人個資安全。
這讓朝野不少關心資安議題的立委磨刀霍霍,紛紛對我國過時的《個資法》提出漏洞修補,全院共有27個版本要審,其中以民進黨自家立委賴品妤版本最為資安界人士稱讚,賴品妤修法版本中包括修法應該涵蓋中央機關第32條以完備個資機關權力、修資通安全法加強數位發展部善盡個資管理之責、輯個資法通報機制、符合國際標準等幾大方向。原本認為從中央宣誓成立個資保護機關到修法通過,可能需要到下會期才能完成。
未料,5月初,經濟委員會召委、民進黨立委邱議瑩在5月2日就忽然排只修行政院版本《個資法》,把所有立委版本排除在外,更把當天委員會質詢時間限縮到經濟委員會委員發言4分鐘,非經濟委員會3+1分鐘,光速通過,不少登記發言的委員都趕不過去,眼睜睜看著院版送出委員會。被草草送出經濟委員會的《個資法》,在5月16號三讀通過。
可笑的是,現行《個資法》修法後,雖然確定個資保護機關將會成立,但卻無相應組織法,國家發展委員會主委龔明鑫稱八月將成立籌備處,但卻無法源,面對民進黨立委邱志偉質詢時更不諱言,相關工作會是下一屆政府、國會處理。
此外,修過的法令也僅是提高「非公務機關」個資保存不利的罰鍰金額,就公務機關外洩我國個資,包括內政部2300萬筆戶籍資料、財政部電子發票平台密碼漏洞、NCC(國家通訊傳播委員會)民眾採購資通訊設備個資外洩、數位發展部外包網站存在可攻破公務機關漏洞,一概「無法可管」。
蔡政府原本有機會在最後一年將現有公務機關、非公務機關資訊安全、個資保護權責全都補強立法,但朝野卻便宜行事,大聲宣告保護我國人民資安、個資,卻以執政及立法院人數優勢強行通關院版個資法,讓《個資法》修法淪為假球賽場,蔡政府本身既為資安破口,國安自是笑話一場。
