骇客攻击国安局「成功率接近0」！ 蔡明彦揭守备实力

国安局长蔡明彦14日在立法院答询。（姚志平摄）

立院外交及国防委员会今（14）日审查国安局预算，民进党立委沈伯洋表示，根据统计，台湾政府单位遭到网路攻击的次数非常高，建议国安局参考欧美公司内控模式，并建立特殊资安治理架构。国安局长蔡明彦说，国安局防护能力强，骇客成功攻击机率接近0，而国安局在硬体、人安上皆有所作为，除建置硬体，也和各情报机关进行演练，未来培训人员可达3000人次以上。

沈伯洋今质询时指出，资安业者Check Point今年第3季数据显示，台湾受到网路攻击次数第二多的就是政府与军事机构，平均每周超过5000次，而国安局预算书第三页有提到强化资安的维管工作，目前进度为何？蔡明彦回应，国安局非常重视资安维管，也要感谢立院的支持，过去资安上的经费有增加，但国安局的防护能力，让骇客攻击难度较高，成功攻击的机率接近0。然而很多骇客侵害的对象变成民间机构，DDoS的攻击也变成趋势，才会看到攻击次数不断增加的趋势。

沈伯洋表示，从公司内部窃取机密、或刻意让公司设备中毒，比例已经将近一半，也就是现在做红队演练要增加相关的内容，且以欧盟跟美国来讲，一家公司会分配3000万到4000万的预算在进行内部控管。蔡明彦说，资安的部分一来是硬体，再来则是「人安」，国安局花很多经费做硬体的建设；人安的部分，除了实体的隔离外，也会严格的禁绝人员携带连接电脑的设备进出，且营区门口有管制作为，同仁有违纪也可以透过内部控管知道，透过多管齐下的措施确保安全。

蔡明彦提到，除了国安局内，还有另外11个情报机关，进行教育训练联合攻防演练，未来2到3年培训的人员，可以达到3000人次以上，经费补助也会去了解相关国安团队的资安环境有没有需要策进的地方，有必要的话，设备和经费的投注都会去协助相关的国安单位。

沈伯洋提醒，也可以参考国外对资安的投资，是否有国安局有缺少的内容。目前除了刚刚讲的教育训练等，美国现在有NITTF、英国有CPNI以及欧盟透过NIS2的指令，有特殊的资安治理架构。

沈伯洋直言，他跟各大公司资安长讨论后，了解不只国安单位有所缺漏，有些企业的资安措施尚未完善，未来也将对国安局及国防部提出进一步要求。而关键基础设施跟国安局有很强的关系，但关键基础设施现在人力不足，在进行委商的时候，厂商有没有符合相关规范也无从得知，有可能需要国安局去协助，假设外包契约有标准要求，是不是让各个厂商也能做到？

蔡明彦说，现在很多单位都很注重委商，且若授权权限过高，可能引发资安营运问题，如何透过契约方式让厂商有更大权责、负起相关资安外泄的责任，接下来在契约部分要进行加强。另外，委外厂商有没有背景查察，对国安单位而言，会是最优先的工作，但其他政府单位的知觉还不太够，会提醒各单位注意。