公视基金会连续重大资安事件 监院纠正文化部、NCC

监察院。(本报资料照片)

针对财团法人公共电视基金会一年内,连续发生遭勒索病毒攻击及片库资料遭误删高达41万余笔之重大资安事件,监察院指出,公视基金会资通安全管理作业松散,主管机关未能正视该会长期存在问题并未严予监督,监察院10日通过监委范巽绿、赖鼎铭之调查报告及纠正案文,纠正文化部及通传会(NCC)。

监委调查发现,公视基金会于110年6月发生遭勒索病毒攻击事件,111年2月,在不到一年时间内,又发生新闻片库系统资料画面遭委外资讯维护厂商删除高达41万余笔,迄今尚有8万笔资料尚未复原的资通安全事件,引发外界訾议,严重影响该会公信力,更凸显公视基金会资通安全管理作业松散,核有违失。

监委指出,文化部身为公视基金会主管机关,不仅未能正视该会长期存在资安经费及专业人力不足之窘境,致使公视难以落实关键基础设施及资安A级机关之法遵要求,对于可有效增加公视财源的「公共电视法」修法未能积极推动,导致公视每年接受政府捐助之新台币9亿元经费,人事费用即达8亿余元,仅足敷支应该会基本营运需求,遑论用以推动数位转型及保障资通安全。

另外,公视第七届董事会延宕组成957天,导致难以有效监督公视治理,故资安缺失不断发生,文化部明显未善尽主管机关督导责任,难辞其咎。

2位监委深入调查发现,通传会(所涉业务已移拨数位发展部)为通讯传播领域关键基础设施目的事业主管机关,对于公视遭受勒索病毒攻击事件,未依规定于时限内通报,竟未警觉公视在资讯安全管理制度(ISMS)管理松散,对公视数位新闻片库资料画面,遭委外资讯维护厂商全数删除之资通安全事件,竟低估公视片库资料重要性,除事前对公视「新闻片库系统列为普级」、「第三方稽核指出备份政策风险」及「委外作业管理松散」等潜在风险,未能及早发现并积极督导改善。

另于事件发生后,亦未能考量本案对公视营运及文化资产冲击,率尔同意通报为「第一级资通安全事件」,显未善尽「资通安全法」、「资通安全事件通报及应变办法」及「国家通讯传播委员会所管特定非公务机关资通安全管理作业办法」等法定职责。

监委指出,这些作为将置国家「关键基础设施」于高风险之中,公视与通传会仅站在媒体播送功能角度思考而赋予关键基础设施及资安责任,并未认知到内容的重要性,核有违失,纠正通传会,因该会案涉业务已移拨数位发展部,请该部续处相关事宜。

监委表示,公视长期存在为人诟病的组织文化,使营运效率不彰、从业者价值观、只能升不能降的薪资结构、劳逸不均、薪资落差、组织僵化及欠缺公众问责机制……等问题,凸显该会不但在资安层面无法因应现今资通安全威胁及符应资安防护需求外,在人事管理、公司治理及问责机制等议题上,亦有更深一层检视评估并积极改善必要。