民進黨台北市議員林延鳳(左)、顏若芳(右)10/13召開記者會揭露北市府的資安漏洞。翻攝臉書
民進黨台北市議員林延鳳、顏若芳今(10/13)召開記者會揭露北市府資安外洩中國的疑慮。林延鳳指出,北市府有40個單位運用人臉、指紋等生物特徵辨識之方式紀錄出缺勤,其中卻有將近2/1、共19單位的系統使用中國製或疑似中製「貼牌」產品,要求北市府應全面清查,並對可疑機台加以汰換,並徹查採購過程違失。
林延鳳、顏若芳今天共同召開記者會指出,北市府有數個單位的生物辨識打卡系統是使用「中國製」器材,經查該器材外型與中資企業「熵基科技」(ZKTeco)或總部設於中國上海之Granding Technology所開發之器材幾乎一模一樣。然而,熵基科技早在過去就被揭露是曾與中共軍方合作的廠商,相關產品更在中國購物平台如「淘寶」、「阿里巴巴」能輕易找到,如未妥善把關,對北市府而言恐怕是資安大漏洞。
林延鳳指出,北市府123個公務機關所屬單位之差勤打卡方式,其中共有40個單位會運用生物特徵辨識之「打卡」方式紀錄出缺勤,佔32.52%。其中有8個單位自承使用中國製產品,分別是南港區公所、北投區公所、公園處、教育局青發家教中心、北市交響樂團、環保局稽查大隊、老動局就業服務處以及勞動力重建處。另有11個單位,包含大地處、水利處、多個地政事務所、地政局開發總隊等使用泰國製產品,外型卻與相關中國廠牌產品相仿,疑似「貼牌」。
顏若芳則表示,過去衛工處曾因準備使用ZKTeco臉部辨識提供職員工「打卡」,在議會被揭露後認為有資安疑慮,而取消類似差勤紀錄方式,但市府卻未再檢視其他單位相關措施,造成如今的資安疑慮。她認為,目前市府自行開發之「TaipeiOn」運用手機APP在特定處打卡,已可消除泰半「代刷卡」疑慮,而使用生物特徵辨識管理出勤,是萬不得已做法,必須嚴格檢視必要性。
然而根據現行規定,機關採購資安敏感設備,必須由各局處自行上網填報審查,但北市府8個坦承使用中國機器的單位,卻根本沒上報,北市資訊局也在記者會中認錯坦承「督導不周」。對此,顏若芳呼籲北市府應立即研議相關標規範、全面清查這些機台是否具有資安疑慮,若有可疑就應立即汰換,確保市府職員工個人資料安全。
林延鳳進一步說,依據行政院相關指導「具連網能力、資料處理或控制功能者皆屬廣義之資通訊設備」都屬於擴大盤點的範疇,但若只是因為屬「非中國廠牌」而不予管制,恐會無以因應「貼牌規避」之情況,產生資安漏洞,她憂心北市府員工的敏感個資,會在完全未經合理認證或把關、無人知情的情況下被傳至中國,呼籲蔣萬安市府必須正視此問題,趕緊「補破網」。