《觀點》電子發票出包! 對台灣資安 數位發展部應該做更多
2023/05/16 00:00
(前情提要:財政部資安漏洞)本報接獲白帽駭客通報,公司行號在開通電子發票平台使用時,財政部竟然發給所有公司行號同一組密碼,且該組密碼為台灣人常用密碼前幾名。由於電子發票平台密碼多為財務部管理,缺乏資安意識,未更改密碼的公司行號、行政法人相當多,一但被登入,公司往來的重要廠商、金額都會被整捆打包,對不少單位造成風險。
對於財政部網站設計竟未採隨機生成密碼,除了財政部採購部門開規格時不夠嚴謹,內控人員對發給公司行號密碼環節也便宜行事,才會造成連中科院採購發票都被看見的資安漏洞。
按理說依照《資通安全法》應由數位發展部對公部門資安系統進行稽核,不過很顯然,2022年8月27數位發展部成為資安法主管機關以來,從未進行稽核。那麼,政府機關裡究竟還藏有多少此類恐損及人民、企業等權益的漏洞,數發部何時會給全民一個交代?
回顧數位發展部自成立以來,台灣已經發生多起個資、資安事件,撇去同時產生的個資/資安如戶籍資料外洩、iRENT租車平台個資裸奔,數發部皆以個資並非數位發展部主管為由推卸責任。然而,當誠品書局發生個資外洩讓民眾接獲「中共打來了」電話時,明明誠品書局該事業主管機關並非數發部,但是數發部與資安院卻在第一時間願意衝去誠品生活做行政檢查。
雖然數位發展部成立不到一年來,已被譏笑成為部長唐鳳的秀場,但是這並非網友一笑了之的事,在「資安即國安」的數位時代,如財政部便宜行事的網站規格、密碼生成,都有可能造成國安風險,在此脈絡下,本報呼籲,數位發展部部長唐鳳對公務、非公務機關的資安稽查,應立即「全面啟動」。
網路媒體「READr」也接獲民眾提供一份包含130家上市櫃公司的名單,經測試,1789 間上市上櫃公司中就有超過 7% 的企業仍沿用財政部提供的預設密碼,其中78間為上市公司、52間為上櫃公司。從產業別來看,光電業最多,其次是半導體業、電子零組件業,甚至連專門從事資訊安全的公司也榜上有名。
而對於這起財政部造成的資安漏洞,資安界對公司行號建議:一、盡快改掉密碼、二、停用掉以統編為子帳號名的帳號,改用其他只有公司內知道的帳號,並將密碼的更換列入知道密碼的人的離職流程。三、不要任意測試其他公司,財政部有紀錄,若害公司帳號被停權可能違反妨害電腦使用、四、若擔心過去電子發票可能透過此風險外流,可嘗試詢問財政部調閱登入紀錄。
