監察院今(18)日巡察行政院,由賴鼎銘委員代表監察院交通及採購委員會,就「公私部門資通安全問題之探討」為題發言,分從「組織人力面」、「設備供應面」、「關鍵基礎設施安全面」及「資安聯防面」等四大面向,探討國內資安防護面臨之問題,並請行政院督促所屬不能輕忽臺灣的資安威脅。
組織人力面:政府機關與各產業面臨資安人力之質與量,仍有不足
監察院調查及審計部查核發現,部分中央公務機關資安專職人力仍欠適足,未能落實法遵事項,且地方政府資安人力不足情形較中央政府嚴重,對「攻擊面管理」極為不利;此外,教育部國民及學前教育署所轄資通安全責任C級之81所國立高中,僅11校有配置資安專責人員;國中小學校資訊組長由中文、英文、藝術、體育背景兼任者所在多有,更甚者由代理教師兼代,不利落實相關資安應辦事項。
現行政府機關進用資安業務人才,乃透過國家考試任用或機關自行招募,然國家考試進用資安人員,僅有「資訊處理職系」與資安業務相關,惟兩者所需職能存有顯著差異,且國家考試以「筆試」為主,難以評鑑受測人員之實作能力;機關如採暫時性措施,以委外或約聘補充人力,其核心業務、技術傳承、機敏性方面恐存有資安風險,仍有待穩健擘劃資安人員國家考試制度,設計出符合我國政府資安專業人員之進用方式。
此外,目前政府機關與各產業均面臨資安人力需求持續增加,而且資安院已於112年8月初擬資安人才類別框架,定義「12+7」種類型,建立專家資料庫所需職能基準,以利各界進用所需資安人才,有賴行政院賡續積極督導。
設備供應面:各機關對危害國家資通安全產品之風險管理與資通訊產品供應鏈安全性,仍待加強
監察院調查發現,截至111年底止,各機關盤點清查並列管之危害國家資通安全產品,尚有2,000餘件仍未完成汰換;且各機關辦理各類資通訊產品或服務之採購案件,屢存有資安風險意識不足情形,市售資通訊產品或供應商程式原始碼,亦陸續發生資安事件或存有資安疑慮問題。
目前先進國家已逐漸導入軟體物料清單(Software Bill of Materials, SBOM)並列為採購規範,行政院宜督促相關部會積極正視資通訊產品或服務供應鏈安全性問題,建構「資安生產履歷制度」(Manufacturing Execution System, MES),以降低國家資通安全風險。
關鍵基礎設施安全面:國家關鍵基礎設施資安防護韌性,仍顯不足
我國關鍵基礎設施依功能屬性,分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關及高科技園區等8大領域及20項次領域,而關鍵基礎設施防護攸關國家秩序、政府運作、社會公義、國民生活及經濟發展甚鉅。
監察院調查發現,國內關鍵基礎設施資安防護韌性仍顯不足。例如,台電公司大潭電廠大修期間,發生人員代刷卡、委託協力廠商持前協力廠商工作證多次出入電廠情事,輕忽電廠廠區安全;美國眾議院前議長裴洛西(Nancy Pelosi)來臺期間,國內公私部門屢受分散式阻斷服務攻擊及電子看板內容竄改等資安威脅,均顯示關鍵基礎設施資安防護之重要性。
國家關鍵基礎設施使用之工業控制系統(Industrial Control Systems, ICS)及其營運技術(Operational Technology, OT),其資安特性、認證標準及管理方式均有別於一般資訊系統,有待行政院督促相關機關秉持「資安是持續精進的風險管理」之精神,積極研謀因應對策並精進相關改善作為,以提升關鍵基礎設施安全防護韌性。
現行政府推動之零信任網路架構(Zero Trust Architecture, ZTA)牽涉諸多面向與磨合,尚有努力空間。行政院宜持續督促所屬透過「身分鑑別、設備鑑別及信任推斷」3大核心機制,降低機關實施零信任網路之疑慮與負擔,逐步建立零信任網路資安防護環境。
資安聯防面:資安事件通報機制及情資分享量能,仍待提升
我國已建立國家層級資安聯防體系,進行跨領域之資安監控、緊急應變及情資分享。然而,監察院調查國家資訊分享與分析中心(National Information Sharing and Analysis Center, N-ISAC)與八大關鍵基礎設施各領域情資分享情形,發現向下分享情資與向上分享情資數量相差甚遠,形成情資「不公開化、不透明化」,宜鼓勵勇於發布訊息並揭露策進作為,避免「盡量不通報、家醜不外揚」之情事發生。
監察院調查發現,近年公務機關未善盡資通安全防護,迭生個資外洩事件;鑑於公務機關保有個資數量眾多,宜積極提升機關資安防護與意識,避免資安事件導致個資外洩風險;另隨著政府組織調整,對於公務機關及特定非公務機關之資安稽核與檢查,現行法制面與執行面尚存有模糊地帶,近期數位發展部已預告修正「資通安全管理法」,廣徵各界意見,宜盡速完成相關法制作業程序,使法規具體明確授權,以符實際並據以執行。
此外,現行非公務機關重大個資外洩事件頻傳,中央目的事業主管機關對於非公務機關個資外洩事件之調查與裁處機制,仍有待加強。目前行政院已通過「防止非公務機關個資外洩精進措施」,提出3大精進策略,宜盡速完備相關法制與配套機制,並落實執行,以提供國人完善之個資保護環境。
資安即國安 期許行政院就6大事項妥為籌謀善策
最後,賴鼎銘委員提出6個小提醒:「人力缺口、人才培育,有待急追」、「設備管控、生產履歷,必須留意」、「關鍵基礎設施資安意識、零信任機制,有待強化」、「法制的完備與落實,乃資安成功與否的關鍵」、「中央資安強、地方弱,小心破口」、「AI對資安的挑戰,宜及早思索因應」,期許行政院督促所屬妥為籌謀善策,以健全國內資通安全防護體系,提升整體資安聯防量能,打造臺灣成為安全及可信賴的數位國家。
行政院暨相關機關說明:
數位發展部:
數位發展部部長唐鳳表示,在組織人力面,將持續辦理相關課程,協助提升各機關資安人員專業職能;另為增補政府資安專職人力進用管道,刻正與考試院考選部、行政院人事行政總處共同研議於高等考試三級考試增設資通安全類科,及現職公務人員轉任資訊處理職系專長訓練,並研議推動績效獎金制度,鼓勵資安人才留任公務部門。
在設備供應面,將持續透過盤點,督導各機關完成危害國家資通安全產品之汰換,並與行政院公共工程委員會共同研訂及公告「政府資訊服務採購作業指引」及「各類資訊(服務)採購之共通性資通安全基本要求參考一覽表」,納入資訊服務採購契約範本。
在關鍵基礎設施安全面,將持續偕同關鍵基礎設施主管機關整合相關資安防護資源,精進關鍵基礎設施資安防護韌性,落實資安風險識別及管理;零信任機制之核心在於身分辨識,將持續藉由TW-FidO身分認證,加速導入機關推動零信任機制;並透過「AI產品與系統評測中心」,積極評估納入資安偵測及防禦機制,持續精進主動式防禦技術、惡意攻擊溯源追蹤及弱點挖掘自動化等技術,以因應新興科技對資安之挑戰。
在資安聯防面,已建立情資分享以領域內部及燈號分級分享為處理原則;另將積極檢討修正資通安全管理法及相關配套法制,落實各項資安法遵要求,以精進各機關資安防護作為。
教育部:
教育部部長潘文忠表示,已推動「臺灣資安卓越深根計畫」鼓勵大專院校培育資安人才,並針對國中、小資安專業人才比例不足部分,鼓勵自然、數學領域老師透過跨域學習方式,取得資安專業知識;另為建構校園資通安全環境,已訂定「公立高級中等以下學校資通安全防護計畫」及「直轄市、縣(市)教育網路中心建構綠能雲端資料中心實施計畫」,推動各校核心資訊系統向上集中,以降低學校資安風險。