柯志恩:資安辦變資安處有更高明嗎?
【數位網路報記者陳漢墀台北報導/2016,8,1】
行政院(8月1日)將正式成立「資通安全處」, 這是擴編原馬政府時期任務編組的「資安辦公室」, 透過打造正式的資安專責組織,讓資安成為政府內建的正式職能, 未來資安處也將以推動「資通安全管理法」為首要任務。 立法委員柯志恩對於政府重視資訊安全給予肯定,但在「資訊安全處 」成立之際,提醒政府務必正視、 解決現存資安業務仍舊委外資策會「技服中心」的風險問題, 否則如何證明新政府成立「資通安全處」取代馬政府「資安辦公室」 的做法有更高明呢?
行政院(8月1日)將正式成立「資通安全處」,
柯志恩表示資訊安全在政府施政及維持社會穩定上, 扮演重要角色, 主管機關除了關注法規建置及政府部門的資訊安全外, 切勿落入公部門的慣性,關在辦公室天馬行空發想, 而忽略了網路世界高手盡在民間,實應隨時掌握網路資訊, 提升資安管控能力,以免不進則退,競爭力落於民間之後。
柯志恩擔憂未來針對基礎設施的網路攻擊事件將會愈趨增加且嚴 重,但台灣八大關鍵基礎設施並非完全由公部門掌管, 目前實際執行資安業務者為資策會下的「技服中心」, 依照已被廢止的「國家資通安全科技中心設置條例」規定, 本將升級成為行政法人, 且該設置條例明文規定該中心的業務範圍包含 「規劃及支援國家關鍵基礎設施之資通安全防護」, 本可依法協助關鍵基礎設施的資安建置。 但此條例於五月初被時代力量黨團提案廢止,致使「技服中心」 無法轉型為「國家資通安全科技中心」, 只能退回到由政府以外包給資策會的方式,失去了法源依據, 也無法主動提供民營基礎設施任何支援及協助。
柯志恩以日前發生的一銀案件為例, 金融業屬八大關鍵基礎設施之一,而第一銀行也屬民間機構, 在該案件發生後,調查局等相關部會皆投入調查,但是已經累積15 年駭客防治能量的技服中心, 卻因為設置條例的倉促廢止而無法主動介入協助。 之前民進黨及時代力量黨團在立法院大聲疾呼, 強調即便廢止該條例,也絕無資安空窗的問題。對此, 柯志恩對政院提出嚴正質疑,發生如此重大案件, 累積豐富資安戰力的技服中心,竟無權主動支援協助, 這算不算是資安漏洞?!
柯志恩表示馬政府時代設計將資策會下的技服中心轉型為行政法人, 由科技部督導, 就是因為政府的資安業務不能老是以委外的方式給予資策會, 但又受限於政府行政員額組織的限制, 無法納編技服中心的全部人員,因此才折衷以行政法人的方式為之, 一方面準公務機關化,減低資安委外對政府資安帶來的風險, 另一方面又不失組織運作的彈性。但如今在新政府的規劃下, 就算未來督導技服中心的工作升格到政院「資安處」層級, 但真正負責資安事件分析和處理的成員們,仍舊是「外包廠商」、 仍舊是「委外作業」,只是「升級」由行政院院本部直接督導, 事實上原來政府資安業務委外的問題根本沒有解決, 相對於馬政府時代行政法人化的做法,「資通安全處」 繼續將政府資安業務委外,風險依舊存在。
柯志恩指出,之前「國家資通安全科技中心」還沒運作就被廢止 、封殺,新政府目前除了將任務編組型態的「資安辦」擴編成正式的 「資訊安全處」之外,原來技服中心的委外問題都沒解決, 希望新政府務必拿出具體行動,妥善規劃未來技服中心人員的定位, 用行動證明對資安的重視。千萬不要只是「空設」一個處室、提出「 空泛」的未來層級架構,以「空話」保證資安,用「三空」 來建置國家的資訊安全,實無異緣木求魚,令人難安。
留言