盤點公部門危害資安產品 數位部:逾千個仍使用
立法院交委會23日進行數位部預算審查,並進行質詢。立委洪孟楷要求數位部說明資安法修法後,禁止公部門使用危害資通全產品,目前掌握多少清單?
數位部長唐鳳表示,已有盤點中共能更實質控制我們的軟體跟硬體,若有部會使用就會限期汰換,透過像斷網等措施,確定不會有後門,即使有也不會影響。
資安署長謝翠娟進一步補充,盤點後發現有11個大項,共計逾千個產品還在使用,對此,現在是把它直接斷網跟限制性使用,必須要經過資安長同意才能使用。
謝翠娟說,舉例來說,有一些部會要查的資料庫剛好是對岸品牌,資料庫若是業務需要就會特別籤準資安長同意來使用,其他則都直接斷網。她強調,政府各部門都有所掌握。
洪孟楷質疑,若是政府發包,下游廠商卻使用了危害資通安全的產品,如臺鐵車站螢幕被駭客入侵,當初臺鐵就推託給下游廠商怎麼辦?洪孟楷認爲,下游廠商就是個模糊空間、三不管地帶。
唐鳳說,她上任後已經要求,公衆場域只要是公部門的,都要比照納管。唐鳳也說,出租廣告場域要連帶寫在契約裡面;共同供應契約,就是列在上面看過沒問題、兩個機關以上在用,就比較不會出問題;若裡面沒有的話,要來詢問,說是全新的、看整個公務系統沒用過,檢視是否要實施控制。
對於立委林俊憲擔憂,各機關未落實資訊資產盤點,要如何找出有問題的產品?恐怕不會每個人都會乖乖來詢問。
對此,唐鳳說,只要跑採購程序,數位部和工程會都可以去檢視,一旦連上公用網路就會被發現,而加深罰則的方向也是一致的。謝翠娟補充,所有產品都要上網更新漏洞,每個月也要定期更新,這樣就會知道使用的產品有沒有問題。
唐鳳強調,會引導公務機關買沒有疑慮的資通安全產品,工程會已有白名單,若不在名單上就可以來諮詢。至於民間公司部分,若想知道有沒有資安疑慮,可以來諮詢相關單位,像上市櫃公司可以問TWCERT/CC。