快訊

    電子發票平台爆資安漏洞! 唐鳳:持續在公部門進行主動式「韌性巡檢」

    2023-05-22 13:01 / 作者 戴嘉芬
    數位部長唐鳳今表示,之後將持續在公部門進行主動式「韌性巡檢」,以防範重大資安事件再度發生。陳品佑攝
    財政部轄下的「電子發票整合服務平台」最近爆出資安漏洞,有部分帳號在13年來,都使用相同的預設密碼登入!此項資安漏洞一開始是由民間的白帽駭客主動發現並連絡TWCERT/CC進行通報。立法院交通委員會針對此資安議題,今(5/22)邀集數位部、財政部官員報告並備詢。數位發展部部長唐鳳表示,未來將於公部門持續進行主動式「韌性巡檢」,以防範此類事件發生。

    唐鳳指出,此次事件是民間的白帽駭客守望相助主動發現連絡數位部,並連繫TWCERT/CC(台灣電腦網路危機處理暨協調中心),再轉給數位部資安署處理,督促電子發票平台進行相關改善。

    唐鳳表示,目前已改善狀況包括預設密碼應隨機產生,若有民眾要使用相同密碼,也應強制更改。財政資訊中心已於5/11、5/16完成相關變更,資安署也進行隨機抽測。唐鳳強調,此僅為一例,希望所有部會和縣市政府機關,都能做網站資安盤點,以避免類似情形發生。

    財政資訊中心主任張文熙也表示,5/10接獲民眾反映平台預設為弱密碼後,中心立即改善,要求營利事業單位進行密碼變更。5/11即改為英文+數字12碼密碼長度,並增加顯示登入紀錄等因應措施。

    時代力量立委陳椒華質詢時指出,數位部是否有針對相關部會的資安進行事前稽核?還是只在重大資安事件發生後才去進行相關處理?

    對此,唐鳳表示相關稽核都有做,但沒有稽核到預設密碼的樣態。數位部在今年、明年會全面推行「零信任」架構,讓大家不要只用密碼來做認證。其次,數位部的工作也不僅為事後的應變處置,目前已在公部門進行主動「韌性巡檢」,也就是在事前建立技術層面的共通元件,這與建築物需使用防火建材的概念相當,是透過巡檢方式預先探查,將於3個月內搜集統整出基本樣態,並於今年底和明年大規模施行。若民間單位需要,也可提供此共通元件,協助民間業者提升資安防護。

    目前資安事件通報發生時的釐清確由TWCERT/CC負責,之後的行政訪查則由資安院負責。唐鳳表示,TWCERT/CC目前隸屬於TWNIC管轄,數位部將在明年進行規劃,有可能將其整併到資安院中。


    戴嘉芬 收藏文章

    本網站使用Cookie以便為您提供更優質的使用體驗,若您點擊下方“同意”或繼續瀏覽本網站,即表示您同意我們的Cookie政策,欲瞭解更多資訊請見