▎ 從行政院國發基金創業投資電腦系統遭駭事件，看台灣資安現況 🧐

「資安即國安，切莫淪為口號！」

有鑑於近年來國內外資安事件頻傳，虹安於國會問政也經常關心我國資安政策與規劃。甫於上個月，行政院國家發展基金的創業投資電腦系統遭疑似來自中國大陸的駭客惡意入侵，顯現出政府機關的資安意識與作為仍然相當薄弱，所謂的「資安國家隊」似乎僅淪於口號而並非具有實質作用？

💡前情提要💡
6月底，行政院國家發展基金的創業投資電腦系統突然無法開機，近日終於釐清原因，該單位的電腦遭疑似來自中國大陸駭客惡意入侵，導致系統主機遭植入病毒程式，該單位主要負責國內產業新創與公司轉型業務，此事件已通報為三級資安事件，影響層面涉及投資企業與融資業務、個人資料恐已外洩...等，屬於極度嚴重的資安事件。

虹安曾多次公開呼籲，政府或企業要提高資安意識，且應定期執行模擬演練攻擊；政府也應該儘速盤點相關政策，加速產官學研資安防護能力。比如說定期執行紅隊演練攻擊（模擬駭客入侵，對各企業端點進行攻擊）的服務，藉此找出資安防護的弱點加以改進。全世界皆面臨著資訊戰以及日益猖獗的惡意竊盜資料的網路攻擊，近年更有許多企業遭到駭客組織的「勒索軟體即服務」（RaaS）新興手法攻擊，公私部門之資安意識、能力和人才提升，勢必得馬上佈建、徹底執行。

🎯🎯🎯國發基金的創業投資電腦系統遭駭，問題可能出在哪？

① 重要主機資訊系統並沒有資安團隊或資安人員進行主動積極防禦，突顯資安人才短缺問題造成的影響仍持續擴大。

② 資訊系統委外開發及維運，顯然並沒有進階資安防護的要求，造成甲乙雙方置系統安全不顧。建議應檢視所有目前政府重要系統委外營運之合約，無論新舊，對於資安的要求是否符合規範。

③ 國發基金系統既然委外由兆豐銀行開發及維運，此事件是否表示兆豐銀行在資訊安全管理上有所疏漏，不知是否有檢視兆豐銀行整體資安防護措施？雖然在金管會要求下銀行都有專屬的資安團隊及應該做好的防護，不過今天的事件，是否代表著兆豐在資安維運上存在某種瑕疵？又，這類的事件是否會在銀行系統中發生？

如果今天遭竊的不是所謂四五年前的舊資料，而是所有納稅人的血汗錢以及國庫資金？後果不堪設想。

所以，當我們發現國發基金委託外部建置的系統至今毫無有效的資安防護措施、一遭攻擊就破功，著實令人震驚！此舉形同開大門邀請別人來攻擊，#門打開嘸人顧厝，這樣的疏漏相當嚴重也不可容忍。試問數以百計政府機關單位中，是否可能還有類似情況？人民、企業、甚至是國家該如何有保障？

剛出爐的《109年國家資通安全情勢報告》才寫道：109政府單位資安稽核重點是以「行政院所屬部會行總處署」為主，隸屬於行政院的國發基金系統竟然仍存在著資安薄弱的問題！

🔊 虹安再度呼籲，行政院應該要針對所有政府機關與國營事業做 #資安總體檢，找出系統弱點漏洞，否則以台灣政府單位每年遭受2-4000萬次網路攻擊的頻率(2018年公開資料)，政府重要機密與民眾個人資料如何能有效保障安全，實在令人高度憂心！

在野黨質疑前先做功課 關貿網路隸屬財政部非民營企業

民眾黨質疑，公費疫苗預約平台爆量當機，是因「委託某外部機構建置」。針對 #委外而當機 的部分，是不正確的資訊。

身為財政委員會的委員，楚茵要幫科普一下 #關貿網路股份有限公司，也就是公費疫苗預約平台的製作公司，於民國95年走向 #公私合營，政府持有36%股份，實為 #官股公司，並非民營公司。就如同金管會、央行合營的「財金資訊公司」也是公股主導。大家最常用到的財政部 #報稅系統、 #關貿單一窗口、衛福部的 #口罩預約系統 都是政府部門委託關貿網路製作。而關貿網路公司的董事長是要到立法院財政委員會來備詢的，所以民眾黨質疑"委託外部機構"的說法，完全是不了解政府組織運作的外行話。但若要簡單推論「委外建置、民營公司」而造成當機，恐怕要先了解一下關貿網路的背景。

#監督政府不難
#先做好功課而已
#才不會犯下簡單錯誤

【法條大掃除 金管會下架近800條舊法規】

這次金管會下架的法規，多已年代久遠，隸屬金管會會共17則，銀行局共533則、證期局共61則，及保險局共167則，如保險局下面還有解釋公務人員保險養老給付，可否辦理優惠存款的函令......

#金管會 #法條下架 #黃天牧 #法條更新