2016年8月1日

柯志恩:資安辦變資安處有更高明嗎?

【數位網路報記者陳漢墀台北報導/2016,8,1】     
行政院(81日)將正式成立「資通安全處」,這是擴編原馬政府時期任務編組的「資安辦公室」,透過打造正式的資安專責組織,讓資安成為政府內建的正式職能,未來資安處也將以推動「資通安全管理法」為首要任務。立法委員柯志恩對於政府重視資訊安全給予肯定,但在資訊安全處成立之際,提醒政府務必正視、解決現存資安業務仍舊委外資策會「技服中心」的風險問題,否則如何證明新政府成立「資通安全處」取代馬政府「資安辦公室」的做法有更高明呢?

    柯志恩表示資訊安全在政府施政及維持社會穩定上,扮演重要角色,主管機關除了關注法規建置及政府部門的資訊安全外,切勿落入公部門的慣性,關在辦公室天馬行空發想,而忽略了網路世界高手盡在民間,實應隨時掌握網路資訊,提升資安管控能力,以免不進則退,競爭力落於民間之後。

    柯志恩擔憂未來針對基礎設施的網路攻擊事件將會愈趨增加且嚴重,但台灣八大關鍵基礎設施並非完全由公部門掌管,目前實際執行資安業務者為資策會下的技服中心依照已被廢止的「國家資通安全科技中心設置條例」規定,本將升級成為行政法人,且該設置條例明文規定該中心的業務範圍包含 規劃及支援國家關鍵基礎設施之資通安全防護」,本可依法協助關鍵基礎設施的資安建置。但此條例於五月初被時代力量黨團提案廢止,致使「技服中心」無法轉型為「國家資通安全科技中心只能退回到由政府以外包給資策會的方式,失去了法源依據,也無法主動提供民營基礎設施任何支援及協助。

    柯志恩以日前發生的一銀案件為例,金融業屬八大關鍵基礎設施之一,而第一銀行也屬民間機構,在該案件發生後,調查局等相關部會皆投入調查,但是已經累積15年駭客防治能量的技服中心,卻因為設置條例的倉促廢止而無法主動介入協助。之前民進黨及時代力量黨團在立法院大聲疾呼,強調即便廢止該條例,也絕無資安空窗的問題。對此,柯志恩對政院提出嚴正質疑,發生如此重大案件,累積豐富資安戰力的技服中心,竟無權主動支援協助,這算不算是資安漏洞?!

    柯志恩表示馬政府時代設計將資策會下的技服中心轉型為行政法人,由科技部督導,就是因為政府的資安業務不能老是以委外的方式給予資策會,但又受限於政府行政員額組織的限制,無法納編技服中心的全部人員,因此才折衷以行政法人的方式為之,一方面準公務機關化,減低資安委外對政府資安帶來的風險,另一方面又不失組織運作的彈性。但如今在新政府的規劃下,就算未來督導技服中心的工作升格到政院「資安處」層級,但真正負責資安事件分析和處理的成員們,仍舊是「外包廠商」、仍舊是「委外作業」,只是「升級」由行政院院本部直接督導,事實上原來政府資安業務委外的問題根本沒有解決,相對於馬政府時代行政法人化的做法,「資通安全處」繼續將政府資安業務委外,風險依舊存在。

    柯志恩指出,之前國家資通安全科技中心還沒運作就被廢止、封殺,新政府目前除了將任務編組型態的資安辦擴編成正式的「資訊安全處」之外,原來技服中心的委外問題都沒解決,希望新政府務必拿出具體行動,妥善規劃未來技服中心人員的定位,用行動證明對資安的重視。千萬不要只是「空設」一個處室、提出「空泛」的未來層級架構,以「空話」保證資安,用「三空」來建置國家的資訊安全,實無異緣木求魚,令人難安。

沒有留言: