政府網站沒防護 國防部、國安局對駭客大開方便之門


賴瑞隆說,面對駭客攻擊,政府防護腳步要加快;余宛如指「資訊長四法」確有必要。(攝影/蕭芃凱)

「立法院數位國家促進會」今日(5日)召開記者會,揭露政府網站使用「https」(超文本傳輸安全協議)的比例過低。該促進會會長、立委余宛如提醒,https能保護網頁在傳輸過程中不被變造,特別是政府資訊不容在傳輸過程中被竄改,但是台灣1089個政府網站中,使用 https的比率過低,僅有11.2%,包括總統府、國安局、外交部的網站,皆未使用https。

https有額外採用加密演算法

余宛如指出,網站安全指標等級,由安全到不可信任,分為A到T級,其中台灣有67%的機關在防護最高的A級之外;做為國家安全掌門人的國防部,僅是B級;技術龍頭的科技部網站,在10月改版前,防護級是最低的T級;總統府除了總統信箱外,皆未使用https。

立委賴瑞隆表示,同樣主掌國家安全、國際事務的國安局、外交部,也未使用https。根據記錄,2016年國安局被駭客攻擊超過63萬次,比2015年大幅成長,然而國安局仍然未改用https。

余宛如說,http為傳輸網頁的規格,而https則是在http架構上,額外採用加密演算法,使網頁在傳輸過程中有受到保護,讓有心人無法在傳輸過程中擷取網頁並竄改。

她表示,https是在傳輸過程中,為資訊加上一層信封,沒有使用https,就像寄發明信片一般,許多人都有機會閱讀,甚至惡意竄改,因此,使用https可以說是最基本的網站資安防護措施。

國安局網站今年遭駭已超過10萬次

根據國安局預算書的統計資料顯示,國安局的對外網路,2015年遭受駭客攻擊次數達19826次;而2016年1至6月份,遭受駭客攻擊次數17659次。蔡英文總統520就職,國安局從7至12月遭駭的次數暴增,高達61萬3789次,平均2016年下半年,每個月遭駭的次數高達10萬2298次。

國安局預算書指出,2017年起,網攻次數趨緩,1至6月遭駭客攻擊次數為10萬8069次,均即時成功偵測與阻絕,無遭駭客成功入侵事件。

面對駭客攻擊,國防部在年度預算書提到,要爭取網路高手、駭客級專家加入國軍行列,具有國際級證照的「專家級」高手,依資歷核給相等的薪水外,每月還可領取高達5萬元的「網路戰勤務加給」,合計每月薪資超過10萬元,等同國軍少將級軍官的待遇。

賴瑞隆說,面對駭客的攻擊,後果只會更令人堪憂。行政院雖然有訂定計畫,要在2018年12月底前,將所有政府網站皆更新為https,但這樣的期限,在腳步快速的數位時代,應該提早至2017年12月底前完成。

國發會明年才要把https納入檢核項目

國發會資訊管理處長潘國才、行政院資安處副處長徐嘉臨都表示,目前行政院確實訂定相關的規劃,盡可能將時程縮短。國發會更將在明年開始把https納入網站盤點的檢核項目中。

科技部資訊處長薛大勇表示,科技部新版網站近期上線,已經針對資安部分做出多項改善,將來也會依照立委的建議,朝網站資訊設計、使用者體驗優化等方面再強化。國防部通次室資安處代處長廖述煌表示,國防部的資訊安全絕對會努力往A級前進。

余宛如指出:「https不是高深的技術,卻足以造成政府資訊被竄改成假新聞等嚴重公共安全議題;但是這方面並沒有專業單位協助所有部會進行判斷、統合。

去年余宛如與許毓仁在立法院就分別提出所謂「資訊長四法」及「資訊長三法」草案。余宛如說,讓政府有個整合性的資訊掌門人,絕對刻不容緩,也才能完成蔡總統9 月 29 日所說「資安即國安」的要求。­