盤點公部門危害資安產品 數位部：逾千個仍使用

立法院交委會23日進行數位部預算審查，並進行質詢。立委洪孟楷要求數位部說明資安法修法後，禁止公部門使用危害資通全產品，目前掌握多少清單？

數位部長唐鳳表示，已有盤點中共能更實質控制我們的軟體跟硬體，若有部會使用就會限期汰換，透過像斷網等措施，確定不會有後門，即使有也不會影響。

資安署長謝翠娟進一步補充，盤點後發現有11個大項，共計逾千個產品還在使用，對此，現在是把它直接斷網跟限制性使用，必須要經過資安長同意才能使用。

謝翠娟說，舉例來說，有一些部會要查的資料庫剛好是對岸品牌，資料庫若是業務需要就會特別籤準資安長同意來使用，其他則都直接斷網。她強調，政府各部門都有所掌握。

洪孟楷質疑，若是政府發包，下游廠商卻使用了危害資通安全的產品，如臺鐵車站螢幕被駭客入侵，當初臺鐵就推託給下游廠商怎麼辦？洪孟楷認爲，下游廠商就是個模糊空間、三不管地帶。

唐鳳說，她上任後已經要求，公衆場域只要是公部門的，都要比照納管。唐鳳也說，出租廣告場域要連帶寫在契約裡面；共同供應契約，就是列在上面看過沒問題、兩個機關以上在用，就比較不會出問題；若裡面沒有的話，要來詢問，說是全新的、看整個公務系統沒用過，檢視是否要實施控制。

對於立委林俊憲擔憂，各機關未落實資訊資產盤點，要如何找出有問題的產品？恐怕不會每個人都會乖乖來詢問。

對此，唐鳳說，只要跑採購程序，數位部和工程會都可以去檢視，一旦連上公用網路就會被發現，而加深罰則的方向也是一致的。謝翠娟補充，所有產品都要上網更新漏洞，每個月也要定期更新，這樣就會知道使用的產品有沒有問題。

唐鳳強調，會引導公務機關買沒有疑慮的資通安全產品，工程會已有白名單，若不在名單上就可以來諮詢。至於民間公司部分，若想知道有沒有資安疑慮，可以來諮詢相關單位，像上市櫃公司可以問TWCERT／CC。