監察委員:賴鼎銘、王麗珍、葉宜津
基隆市教網中心111年12月發生殭屍網路病毒資安事件,監察委員賴鼎銘、王麗珍、葉宜津申請自動調查並進一步針對國中小資安管理通盤檢討,監察院教育及文化委員會、交通及採購委員會聯席會議亦於113年3月14日審查通過調查報告,報告明確指出基隆市政府教育局在事件通報、復原及根因查明方面均有疏失,教育部則未正視資訊及資安業務之困境,並要求教育部及相關單位強化相關配套。
三位調查委員指出,基隆市本次殭屍網路事件造成防火牆瀕於崩潰,嚴重影響該市教育網路及教學活動,應依「資通安全事件通報及應變辦法」在時限內以適當事件等級通報;惟基隆市教網中心不僅延宕通報時間,又低估事件等級,復未向上申請支援,導致事件衝擊時間拉長及無法進行溯源鑑識,確有違失;而TACERT(台灣學術網路危機處理中心)未善盡審核職責,亦有檢討空間。
監察委員進一步說明,本案經訪談全國56位國中小基層資訊組長,發現不少資訊組長由體育及語文等專長教師兼任,不僅在專業背景及後天教育訓練方面尚待提升,更亟需縮短城鄉資源差距。調查委員歸納發現基層存在課程減授嚴重不平等、缺乏資安事件高發時期支援機制、事件通報與教學不能兼顧、專業匱乏及職務混淆等五大問題,例如有教師反映18堂課之外還要負責網管,或是管理設備數量上千台等等,再再凸顯基層教師僅處理日常排查及維護即已分身乏術,遑論處理資安事件,顯見學術網路資安實有末端麻痺之虞,主管機關教育部責無旁貸,應該檢討改進。
調查委員最後補充,資安事件的管理和應處不僅止於事態控制,更應注重深入的根因分析及持續改進,避免風險持續未受控管,但在基隆市個案方面,迄今未能查明殭屍網路的感染方式及橫向移動途徑等技術手法,將難以防堵類似事件再次發生;此外,該府教網中心及各校雖有辦理第二或第三方資安稽核及驗證,但監院調查發現相關稽核發現絕大多數都與殭屍網路風險無關,顯見資安稽核並未發揮應有功效,因此,教育部應與資安署合作研謀改善措施,以符合「資安是不斷精進的風險管理」之精神。