資安事件頻傳 監察院請數位部強化管理

監察院今（14）日指出，先前美國眾議院議長裴洛西訪台時，部分機關傳出網站癱瘓，部分公共場域電子看板內容亦遭竄改，引起社會大眾矚目，經過立案調查後，指出在公私協力、橫向協調、改善公私部門資安從業人員困境及軟體供應鏈安全等面向確有不足，監察院請數位部強化資安管理作為。

監察委員賴鼎銘、葉宜津、林郁容透過新聞稿指出，裴洛西去年8月2日訪台時，部分機關傳出網站癱瘓，部分公共場域電子看板內容遭竄改，引起社會大眾矚目。三位監察委員經過立案調查，監察院交通及採購委員會並於13日通過調查報告，指出在公私協力、橫向協調、改善公私部門資安從業人員困境及軟體供應鏈安全等面向確有不足。

監察委員指出，資安法規範對象為公務機關及特定非公務機關；然而對於私部門之資安風險事前控制措施建立尚無有效政策推動工具，允宜加強。

監察委員提到，裴洛西訪問期間網路攻擊型態主要為DDoS(分散式阻斷服務攻擊)及內容置換，在因應DDoS方面，經查國家資通安全會報雖指示各機關備妥流量清洗或靜態網頁等措施，惟對於動態服務網頁及資安預算有限之單位，數位部允宜提出更細緻之指引供其參考或爭取建置預算。

至於內容置換部分，監察委員說，經濟部及內政部雖陸續修訂「營業場域電子看板資通安全管理指引」及「招牌廣告及樹立廣告管理辦法」，然而內容僅屬行政指導，難以長期落實管理；調查也發現，對於肇生資安事件之承包商資訊橫向聯繫通報也有改進空間，有待數位部或國家資通安全會報進一步妥處。

監察委員也歸納近期發生的指標性案件指出，發現無論是公部門或私部門，經常欠缺主動發現風險、適當控管及即時通報之誘因，而且面對資安事件多採迴避態度；對此，相關單位宜從鼓勵通報及實質改善從業人員困境方式予以強化，對於如爭取資安職系等等，自2019年迄今未獲重大進展，數位部亦應積極辦理。

而在軟體供應鏈安全方面，監察委員強調，SBOM(Software Bill of Materials)不僅涉及國家資通安全，也與資通訊產業的國際競爭力息息相關，目前各國都日益重視供應鏈安全，數位部對此宜有重點規劃，監察院也會持續追蹤。

對此，數位發展部表示，尊重監察委員所提報告，數位部自去年八月底成立以來，同仁都戰戰兢兢，並持續針對業務精進改善。