3年编2.1亿强化资安 议员轰柯市府资讯安全不堪一击
记者陈家祥/台北报导
台北市议员周柏雅发现,市长柯文哲2015年上任后编列2亿1千万元的资安预算,其中由资讯局负责全府共通性资安防护,含骨干网路防护阻挡、弱点扫描、防毒防护等等,共花费近7千万元。但花了这些资讯安全防护预算,北市资安仍如鸡蛋般不堪一击,至今发生了17次资安事件。
检视柯文哲上任至今,已发生有17案资安事件,平均每年发生5到6案。其中较重大的有2017年1月爆发薪资发放管理系统,外界免登入就可下载报表内容,泄漏几万笔「姓名、身分证、银行帐号」,还被行政院点名为3级资安事件(最严重四级);2017年8月志工管理整合平台,又泄漏1万8千名志工个资;2016年6月2日台北市立联合医院的网路挂号系统也有「SQL Injection漏洞」,这个漏洞也有可能造成机敏资料外流的风险。
周柏雅表示,早在2014年监察院决算审核报告,就已提醒北市府资安松散,结果还是出包。这些严重的个资泄漏案件,有些都还是资讯局本局自己委外发包的,连资讯局自己都找不到网站漏洞,还要外界帮忙「DeBug」,令人不禁怀疑资讯局的专业性。
周柏雅指出,资讯局近5年来却仅有2位专责人力及1名兼办人力,在执行这方面的工作,每年编列约342万元预算;周柏雅质疑,这些人最大的工作就是负责跟委外厂商连系、反映民众使用市府APP、网站等出了哪些包,「就算多聘,又如何可以证明这些人的专业能力是否足够呢?」
资讯局解释,每年都有规划定期的网站弱点扫描与APP检测,提早因应可能的资安攻击事件。但资安易攻难守,除例行性的资安防护外,明年也将增列资安预算扩大资安联防及提升检测能量。
至于日前闹得沸沸扬扬的wifi WPA2加密机制漏洞,资讯局除了将检视北市府所有无线网路设备外,亦主动要求无线联盟成员进行设备韧体更新,公私协力防患于未然。
▼柯市府资安事件统计。(图/议员周柏雅研究室提供)