監察委員:范巽綠、賴鼎銘
監察院教育及文化委員會於111年11月10日通過監察委員范巽綠、賴鼎銘之調查報告及糾正案文,針對財團法人公共電視基金會(下稱公視基金會)一年內,續發生遭勒索病毒攻擊及片庫資料遭誤刪高達41萬餘筆之重大資安事件,資通安全管理作業鬆散,核有違失,主管機關未能正視該會長期存在資安經費及專業人力不足、資安管理制度鬆散等等問題未嚴予監督,監察院提案糾正文化部及通傳會;此外,公視基金會在人事管理、公司治理及問責機制等議題上,有更深一層檢視評估並積極改善之必要;且該會第七屆董事會及經營團隊111年5月20日上任後已研提諸多人事管理改善措施,並擘劃數位轉型願景與目標,然相關落實推動,併請文化部、數位發展部督同公視基金會檢討改進,俾使公視得以成為通傳領域數位轉型及資通安全之標竿。
主管機關文化部未正視公視數位轉型及資安需求
監察委員范巽綠、賴鼎銘調查發現,公視基金會於110年6月發生遭勒索病毒攻擊事件,復於111年2月間,不到一年之時間,續發生新聞片庫系統資料畫面遭委外資訊維護廠商刪除高達41萬餘筆,迄今尚有8萬筆資料尚未復原之資通安全事件,引發外界訾議,除嚴重影響該會公信力,更凸顯公視基金會資通安全管理作業鬆散,核有違失。
而文化部身為公視基金會主管機關,不僅未能正視該會長期存在資安經費及專業人力不足之窘境,致使公視難以落實關鍵基礎設施及資安A級機關之法遵要求,復對可有效增加公視財源之「公共電視法」修法作業,未能積極有效推動,導致公視每年接受政府捐助之新臺幣9億元經費,人事費用即達8億餘元,僅足敷支應該會基本營運需求,遑論用以推動數位轉型及保障資通安全。
對於公視董監事選任稽延處理,文化部難辭其咎
此外,本(第七)屆董事會延宕組成達957日,致難以有效監督公視治理,故資安缺失迭生,有以致之,文化部顯未善盡主管機關督導職責,實難辭怠失之咎,實有糾正之必要。
目的事業主管機關通傳會未及早發現風險並督導改善
2位監委更進一步深入調查發現,通傳會(所涉業務已移撥數位發展部)為通訊傳播領域關鍵基礎設施之目的事業主管機關,對於公視遭受勒索病毒攻擊事件,未依規於時限內通報之失,竟未警覺公視在資訊安全管理制度(ISMS)管理之鬆散,復對公視數位新聞片庫資料畫面,遭委外資訊維護廠商全數刪除之資通安全事件,竟低估公視片庫資料重要性,除事前對公視「新聞片庫系統列為普級」、「第三方稽核指出備份政策風險」及「委外作業管理鬆散」等潛在風險,未能及早發現並積極督導改善。
另於事件發生後,亦未能考量本案對公視營運及文化資產之衝擊,率爾同意通報為「第一級資通安全事件」,顯未善盡「資通安全法」、「資通安全事件通報及應變辦法」及「國家通訊傳播委員會所管特定非公務機關資通安全管理作業辦法」等法定職責。
調查委員指出,這些作為將置國家「關鍵基礎設施」(CIP;Critical Infrastructure Protection)於高風險之中,足徵公視或通傳會均僅站在媒體播送功能角度思考而賦予關鍵基礎設施及資安責任等級A級機關之法遵,卻未認知到內容之重要性,核均有疏失,糾正通傳會,因該會案涉業務已移撥數位發展部,請該部續處相關事宜。
面臨挑戰及改革,有賴文化部、數位部及公視通力合作
監委復指出,公視長期存在為人詬病的組織文化,使營運效率不彰、從業者之價值觀只能升不能降的薪資結構、勞逸不均、薪資落差、組織僵化及欠缺公眾問責機制……等等問題,凸顯該會不但在資安層面無法因應現今資通安全威脅及符應資安防護需求外,在人事管理、公司治理及問責機制等議題上,亦有更深一層檢視評估並積極改善之必要。
此外,監委表示公視基金會第七屆董事會及經營團隊111年5月20日上任以來,針對公視過往弊病積極與工會溝通,研提諸多人事管理改善措施,並擘劃數位轉型願景與目標,然相關落實推動,均有賴文化部、數位發展部及公視基金會三方積極通力合作,俾使公視得以成為通傳領域數位轉型及資通安全之標竿。