盘点公部门危害资安产品 数位部：逾千个仍使用

立法院交委会23日进行数位部预算审查，并进行质询。立委洪孟楷要求数位部说明资安法修法后，禁止公部门使用危害资通全产品，目前掌握多少清单？

数位部长唐凤表示，已有盘点中共能更实质控制我们的软体跟硬体，若有部会使用就会限期汰换，透过像断网等措施，确定不会有后门，即使有也不会影响。

资安署长谢翠娟进一步补充，盘点后发现有11个大项，共计逾千个产品还在使用，对此，现在是把它直接断网跟限制性使用，必须要经过资安长同意才能使用。

谢翠娟说，举例来说，有一些部会要查的资料库刚好是对岸品牌，资料库若是业务需要就会特别签准资安长同意来使用，其他则都直接断网。她强调，政府各部门都有所掌握。

洪孟楷质疑，若是政府发包，下游厂商却使用了危害资通安全的产品，如台铁车站萤幕被骇客入侵，当初台铁就推托给下游厂商怎么办？洪孟楷认为，下游厂商就是个模糊空间、三不管地带。

唐凤说，她上任后已经要求，公众场域只要是公部门的，都要比照纳管。唐凤也说，出租广告场域要连带写在契约里面；共同供应契约，就是列在上面看过没问题、两个机关以上在用，就比较不会出问题；若里面没有的话，要来询问，说是全新的、看整个公务系统没用过，检视是否要实施控制。

对于立委林俊宪担忧，各机关未落实资讯资产盘点，要如何找出有问题的产品？恐怕不会每个人都会乖乖来询问。

对此，唐凤说，只要跑采购程序，数位部和工程会都可以去检视，一旦连上公用网路就会被发现，而加深罚则的方向也是一致的。谢翠娟补充，所有产品都要上网更新漏洞，每个月也要定期更新，这样就会知道使用的产品有没有问题。

唐凤强调，会引导公务机关买没有疑虑的资通安全产品，工程会已有白名单，若不在名单上就可以来咨询。至于民间公司部分，若想知道有没有资安疑虑，可以来咨询相关单位，像上市柜公司可以问TWCERT／CC。