資安法最大的障礙是公務機關尚未建立資安意識

 

KarenYu_1061005-HTTPS_mori-1
2017年10月7日,立法院數位國家促進會、余宛如國會辦公室、賴瑞隆國會辦公室共同召開「政府網站沒防護,國家資訊全裸奔」記者會

為什麼我要投入資安法?

我第一次與「資安」議題站在一起,很多人都以為是 2017 年 10 月 7 日的「政府網站沒防護,國家資訊全裸奔」記者會。但事實上,《資通安全法》草案是我上個會期便已經準備好的,私底下的奔走不知道多少回。

很多朋友不解:「宛如,妳不是新創、社企立委嗎?為什麼要管資安?」我總是回答說:「在數位的時代,不僅是產業的技術、商業模式翻新,政府面對數位轉型,最大的挑戰在資料、資訊與資安。承接我持續在倡議的資訊長四法,資安通訊法更是我一系列議題的延伸。」

上會期,我成立了「立法院數位國家促進會」,就是希望幫助政府機關與民間做好準備去面對數位時代。我要強調,資安是這其中最重要的基底,一旦沒有安全維護,我們做再多的努力或成就,終都可能一夕灰飛煙滅。於是我才跨入《資通安全法》領域,並提了草案。

這次投入《資通安全法》的夥伴,不只行政院資安處很積極,親民黨團時代力量黨團、本黨的陳亭妃委員、以及國民黨的許毓仁委員,都提出了各自的版本。我非常感激,這條路上不只是我一個人孤獨地走著,而是有很多人都跟我一樣看見問題。或許我們對於問題的解答可能不盡然相同,但一致的共識是,推動《資通安全法》刻不容緩,必須加速!

立法第一要務:讓公務員腦袋有「資安」二字

目前提案的版本,除了行政院版本,還有親民黨團、陳亭妃委員、許毓仁委員的版本,前述版本以維護社會安全目標。時代力量黨團則是以補足政府資安人才為目標。

我想,政院版本看到了沒有《資通安全法》的嚴重後果,後者則看到現行《資通安全法》執行上的重要瓶頸。但我要進一步深究的是,政院版的瑕疵在於機關定義、定位不明,以及資安權責不清,且管制的思維可能失去厚植民間資安能量的機會,甚至有違憲的疑慮!

台灣非公務機關的資安就算未臻完善,也比公務機關進步多了。而公務機關或許不能與民間機關相較,但同樣有如同行政院資安處簡宏偉處長的高手在,只是人手、資源不足。

真正的問題是甚麼?就在於每個部會、局處的資安人員都是孤軍奮戰,他們由於要幫助其他部會、局處的同事建立基本的資安概念,雖然能夠發揮所長,但卻淪為單純的資訊危機處理人員。偏偏資安又是需要集眾人之力才能完善的事務,任何一個人的疏忽與缺乏資安觀念,都可能成為可以被攻擊的漏洞。

台灣有將近9成的公家機關網頁都沒有使用 HTTPS 。 我從上述兩個現象中發現,這其實都是技術上不難解決的問題,畢竟缺乏技術、人才時其實都可以外包,但關鍵在於公務人員在執行公務時根本沒有想到資安,這一切都是枉然。

因此我相信,立法真正的第一目標,應該是讓資安層級拉高,地位明確化,使它成為公務機關人員在施政時必須想到的一個重要環節。

讓資安主管機關明確、權責分明

不過目前政院版的機關單位只有含糊的定義,資安權責不清、資安能量不均,只有含糊地點到行政院、公務機關、與中央目的事業主管機關,假設如果未來無人車出現資安問題,難道是要公路總局來管嗎?公路總局的資安能量與高度夠嗎?

在進一步討論前,我先讓大家看一下美國聯邦資訊安全管理法的架構:

美國FISMA架構
美國FISMA架構

為了讓公務人員都能接受到資訊安全的概念,我與助理在設計《資通安全法》的主管機關費了不少心思。最後我們與其他版本不約而同參考了美國聯邦資訊安全管理法(FISMA)的內容與架構。

但比較可惜的是,除了我們與親民黨團盡量貫徹 FISMA 的精神外,其他版本多指著墨在「私有關鍵基礎設施」、「公有關鍵基礎設施」的劃分部分。

我們辦公室則在公私關鍵基礎設施劃分上謹慎處理外,也將治理、執行、標準制定、人才培育等資安的不同細部環節進行拆解,尋找妥善的單位共同配合,除了可以盡量落實中央、地方所有機關都能夠有資安觀念,也避免了日後權責不清,相互卸責的可能。

FISMA架構圖比較
《資通安全法》架構比較

因權責不清,致政府有擴權疑慮!

對我而言,即便這個法規與民間高度相關,而我們也確實需要處理到私有關鍵基礎設施的部分,但是應該要尊重民間。

我們行政院版本的第十八條令我產生疑慮 :「中央目的事務主管機關或直轄市、縣(市)政府因稽核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文件,進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。」

從第十八條來看,我要提出質疑的是,中央目的事業主管機關對非公務機關的監管權過大且自身責任未明。 草案第十五條指出「中央目的事業主管機關或直轄市、縣(市)政府應指定關鍵基礎設施提供者,報請行政院核定。…」;第十八條「中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護計畫發現重大缺失,或遇重大資通安全事件,認有必要時,得進入受稽核或發生重大資通安全事件之非公務機關場所檢查…」

雖然《資通安全法》草案行政院版本第 2 條明訂「非公務機關」是指「關鍵基礎設施提供者、公營事業及政府捐助之財團法人」,所以第 18 條的「非公務機關」並不是常識中的「民間機構」。但關鍵基礎設施業者在美國是由國土安全部指定,而台灣中央目的事業主管機關或縣市政府是否具備足夠專業來指定業者以及進行稽核?

另方面,我自己的《資通安全法》版本也提到「私有關鍵基礎設施提供者」,我參考美國聯邦資訊安全管理法,給予了更明確的定義,並著重被指定的業者與政府之間的合作夥伴關係,兩者皆負有維護關鍵基礎設施安全的權利義務,而台灣在這點上政府該負的責任並未敘明。

要解決這個問題,我認為最好的方式,是應該設置兩種配套。一是就像我與時代力量黨團的版本中,具體提到的資安產業發展作為一般,鼓勵台灣民間長出產業、長出能量。再者,便只有我版本中要求的,在重大資安事件發生後七日內,要私有關鍵基礎設施廠商向主管機關報告。這一來符合社會利益,二來也符合資安資訊共享的精神。

讓我們一起為《資通安全法》審查集氣!

2017 年 11 月 6日,《資通安全法》草案就要進入立法院司法法制委員會審查了。雖然依照當天的議會程序來看,進入實質審查與討論的可能性不高,但既然作為審查的開始,又是這樣對國家重要的法案,我想邀請您,與我一起關注《資通安全法》後續的發展。

也期待《資通安全法》能儘早通過,不只完成蔡英文總統賴清德行政院長對資安的重視,也讓我們擁有更安全的環境!

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *