教部被骇 新北教育资料平台藏隐忧

近期传出教育部被骇导致资料外泄事件，新北市首创的「教育资料平台」正式上路后，是否也有相关资安隐忧值得关注。（柯毓庭摄）

新北市教育局创立「教育资料平台」，盼利用平台将教育大数据化，目前仍在检测阶段，但近期传出教育部国教署外包厂商维护的部分学校被骇客窃取资料，未来新北「教育资料平台」正式上路后，资安隐忧令家长忧心。资安专家律师叶奇鑫则说，政府资安问题长期无解，短期建议机关应注重委外厂商品质并落实渗透性测试。

教育局指出，「教育资料平台」将学习资料整合并分析，可以透过大数据的整合分析全市、各区、各校的区域应对，将数据精确展示，不仅能够看到教育设备数量、预算金额，还可以执行学习分析，推动数位转型与大数据办学应用。

叶奇鑫认为，台湾政府资安大量委外，委外厂商品质常决定成败，「这不是好事」，但长期来说政府对于资讯人员编制、经费都有限，私人企业资安人员开的薪资都是公家机关的3倍，加上年金改革等造成公务人员福利缩水，都是政府留不住资安人才的原因。

叶奇鑫认为，短期来说，只能提醒政府尽量将资安维护外包给大企业负责，大企业爱惜羽毛、较不容易出事，另外即使预算拮据，资安也一定要编列渗透性测试预算，且渗透性测试不是解释宽松、「找软体扫一扫就过关」，应找骇客团队攻击来亡羊补牢，找出漏洞才能健全资安健检。

针对资安疑虑，教育局回应，每年度都会就各资讯科技相关计划强化资安作为，并协助各校添购软硬体以落实资讯安全，若发生骇客，配合《资通安全管理法》应办事项，依法于1小时内完成通报，36小时内完成损害控制与复原作业，并于1个月内提交调查、处理及改善报告。

新北市资讯中心主任陈富添则说，教育局属于B级机关，防护都会要求其遵守《资通安全管理法》，另外新北资讯中心会站在第三方、跳脱市府立场去审视各机关是否做到依法规要求的措施，目前全市府资安承包商由新北资讯中心协助，都是委外给中华资安。