(原标题:3年编2.1亿强化资安 议员轰柯市府信息安全不堪一击)
近年来,随着我国网络技术的发展,像什么信息裸露,网络诈骗等安全事件频繁发生,让网络成为一个没有硝烟的战争。互联网给我们带来便利的同时,也给我们带来很多不利之处。因此,如何保护网上信息安全和数据安全受到整个社会的空前关注。
台北市议员周柏雅发现,市长柯文哲2015年上任后编列2亿1千万元(新台币,下同)的资安预算,其中由信息局负责全府共通性资安防护,含骨干网络防护阻挡、弱点扫描、防毒防护等等,共花费近7千万元。但花了这些信息安全防护预算,台北市资安仍如鸡蛋般不堪一击,至今发生了17次资安事件。
检视柯文哲上任至今,已发生有17案资安事件,平均每年发生5到6案。其中较重大的有2017年1月爆发薪资发放管理系统,外界免登入就可下载报表内容,泄漏几万笔“姓名、身分证、银行账号”,还被台“行政院”点名为3级资安事件(最严重四级);2017年8月志工管理整合平台,又泄漏1万8千名志工个资;2016年6月2日台北市立联合医院的网络挂号系统也有“SQL Injection漏洞”,这个漏洞也有可能造成机敏数据外流的风险。
周柏雅表示,早在2014年台“监察院”决算审核报告,就已提醒台北市府资安松散,结果还是出包。这些严重的个资泄漏案件,有些都还是信息局本局自己委外发包的,连信息局自己都找不到网站漏洞,还要外界帮忙“DeBug”,令人不禁怀疑信息局的专业性。
周柏雅指出,信息局近5年来却仅有2位专责人力及1名兼办人力,在执行这方面的工作,每年编列约342万元预算;周柏雅质疑,这些人最大的工作就是负责跟委外厂商连系、反映民众使用市府APP、网站等出了哪些包,“就算多聘,又如何可以证明这些人的专业能力是否足够呢?”
信息局解释,每年都有规划定期的网站弱点扫描与APP检测,提早因应可能的资安攻击事件。但资安易攻难守,除例行性的资安防护外,明年也将增列资安预算扩大资安联防及提升检测能量。
至于日前闹得沸沸扬扬的wifi WPA2加密机制漏洞,信息局除了将检视北市府所有无线网络设备外,亦主动要求无线联盟成员进行设备韧体更新,公私协力防患于未然。
