| 0 |
沈委員伯洋:(9時54分)謝謝主席,有請局長。 |
| 1 |
蔡局長明彥:沈委員早。 |
| 2 |
沈委員伯洋:局長早。我就直接從預算開始,因為今天最主要是預算的詢答,時間應該沒那麼多,這剛好是前幾天的新聞,所以把它放在這邊,是有關第三季的數據,這些是全球各組織每週平均遭資安攻擊的次數,那裡面當然包含臺灣。剛剛羅委員其實也有提到相關的預算,所以這個部分我就不多說,但目前的政府與軍事機構,以臺灣來講的話,平均每週是五千多次啦,所以數目當然是非常的高。我目前看到在我們預算書的第3頁,強化資安的維管工作,因為我自己跟資安是比較有關係,但我想先問一下,目前這個資安維管工作的進度為何? |
| 3 |
蔡局長明彥:事實上,對於資安的維管是本局長期以來非常重視的一項工作業務啦,也感謝大院的支持,我們大概在過去這幾年,在資安投注上的經費有逐漸的在增加,主要的目的就是在提升我們資安防護的能力。剛剛羅委員也注意到了,本局在這方面的防護能力讓駭客攻擊的紀錄是零啦,主要原因是我們所架設的一個網路環境,就駭客比較有專業背景的經驗來看的話,他們會知道要攻擊本局相關的網站、網頁難度會比較高。就剛剛委員所呈現的數據來講,大概過去這陣子,很多駭客侵害的對象已經慢慢的從政府機關轉移到民間或研究機構,而且過程當中,除了我們高度關注的APT高階駭客攻擊以外,DDoS的攻擊似乎變成是這一陣子主要的一個趨勢,因此委員在數字呈現上才會發現次數似乎有不斷增加的趨勢,大概背景是這樣子。 |
| 4 |
沈委員伯洋:對,因為我發現在預算書這一面,除了這一頁以外,這上面它是維持資安人員專業的證照比率啦,當然它是有某種程度的達成,我覺得這沒有問題。我這邊要提醒一下,我們傳統的資安在講這些紅隊的演練等等之類的,我覺得確實目前不管是國安局還是國防部,在這一方面是加強很多。但是從去年開始,有一個數據我覺得是令人比較擔心,這是全世界的數據,就是目前來講,在公司內部直接的竊取機密或者在公司內部可能插一個USB直接讓它中毒,或者他做了某些事情配合外部的攻擊,他們說現在已經快超過百分之五十了。也就是說現在我們在做紅隊演練的時候,必須要把這個加進去…… |
| 5 |
蔡局長明彥:是。 |
| 6 |
沈委員伯洋:我在這一個相關的數據裡面就有看到,目前以歐盟跟美國來講,他們的平均值大概一年一家公司是花4,000萬到5,000萬只做內部,就是只管內部控管這件事情,就是內部的人,譬如說他背景的調查,還有現在很多根本禁止你使用USB。像NIST,就是之前在做AI評比的那一個,他們在去年的時候有公布了一個標準,應該是2022就有了啦,去年有再把它最佳化,它有一個標準就是對內人員的一個管控。當然,我覺得以國安局來講,對內人員的管控本來就有在做,但是它配合資安的對內人員的一個管控,這是一個新東西。 |
| 7 |
所以我就想,這邊有講資安人員的專業證照,因為這個專業證照還沒有包含到internal threats,就是內部威脅,我在想國安局搞不好可以先做,做給其他部會看,就是把這個東西也把它納入啦! |
| 8 |
蔡局長明彥:有,這部分有,跟委員報告一下,資安的部分,一來是資安本身硬體的部分,再來就是涉及到資安的人安的部分,在經費的投注上,我們當然花很多的經費來強化我們在硬體部分的一個建置;在人安的部分,我們除了硬體上的實體隔離以外,也都嚴格的禁絕我們的同仁攜帶個人的USB或相關連接電腦的設備進入營區,所以我們在營區的門口是有相關的管制作為,這大概是第一部分。 |
| 9 |
第二部分,是因為本局有一個特殊的儀測機制,對於同仁假如有相關違規違紀部分,透過儀測的過程,也可以知道哪些同仁可能有這樣的一個行為。所以我們是透過多管齊下的方式,來確保我們資安跟人安的安全。 |
| 10 |
沈委員伯洋:對,尤其這種行為模式的分析現在反而變得很紅,所以這幾年,如果國安局在行為模式的分析有什麼經驗的話,應該能夠給其他國安單位,尤其現在情報部門多嘛,對不對?就是把這樣的機制給他們,然後讓他們在編列預算的時候,能夠把這一個相關的教育訓練也拿進去。 |
| 11 |
蔡局長明彥:有,這部分也跟委員說明報告一下,就國安局來講,我剛才也跟羅美玲委員做說明,我們除了注意自己本身局內的資安以外,除了國安局以外,還有11個情報機關,對於他們的資訊安全我們也非常重視。這部分我們一方面是透過教育訓練或聯合攻防演練的方式來提升他們的能量,我沒有記錯的話,在未來這2年、3年,培訓我們國安團隊的資安人員應該可以達到3,000人次以上;另外一部分是在經費的補助,我們也會去瞭解一下相關國安團隊的資安環境到底有沒有需要再策進的地方,有必要的話,在硬體設備還有在相關技術經驗的分享上、經費的投注上,我們都有在協助我們其他的國安單位。 |
| 12 |
沈委員伯洋:這邊我們就不講預算的細項,但是就像我講的,現在各公司,尤其是大公司,大概平均一年花4,000萬到5,000萬只做這個internal threats,我相信國安局在這方面的預算有可能不一定夠,所以等到我們在講細部預算的時候,譬如說專業證照這個部分,先把新標準放進去,這是一定本來就要做,而且這跟本來局內在做的事情是一致的。 |
| 13 |
蔡局長明彥:是。 |
| 14 |
沈委員伯洋:接下來就是我們可能可以去看一下國外花4,000萬、5,000萬到底是花在哪些部分,哪些是局裡面還缺的,我覺得可以在細項的時候來討論這件事情。 |
| 15 |
蔡局長明彥:好,這我們再來注意。 |
| 16 |
沈委員伯洋:另外這個就是我剛剛講的NIST的一些新標準,我都先跳過一下。目前來說,除了我剛剛講的,不管是教育的訓練、內容等等之類,目前美國是有這個NITTF、英國是CPNI、歐盟是透過NIS 2的這個指令,所以他們都有一些特殊的資安治理架構,這個東西的確還是稍微比較新一點。我在跟各個大公司,尤其是美國大公司的資安長在討論的時候,他們說這不是只有在國安單位缺漏,現在連有些企業做的都還不夠,這個是未來的大方向。所以這一個部分我想會在下一個年度的時候,我們可能會對不管是國安局或國防部要求,就是它可能甚至需要有一些應變小組什麼等等之類的,在內部做創設。 |
| 17 |
接下來我還有另外一件事情,我剛剛突然想到,雖然今天我們沒有國土辦,因為關鍵基礎設施跟國安局還是有非常強的關係,但關鍵基礎設施我們現在人力是不足的,它面臨的狀況跟國防部有點類似,人力不足我覺得國安局還好,但是關鍵基礎設施會。當他們人力不足的時候,他們會更多時候去找廠商,一旦找廠商之後,廠商有沒有符合我們剛剛那些規範,那完全是另外一件事。 |
| 18 |
蔡局長明彥:是。 |
| 19 |
沈委員伯洋:就像我們剛剛講,我們教育訓練對其他的情報機關會去協助,這個都有,但廠商未必有這個能力,有些廠商它也不夠大,甚至譬如有些只是保全公司,他們畢竟……譬如說它在巡邏關鍵基礎設施,它一定會有些機密,例如每天的班表等等之類的,這個有時候與其從外部駭客攻擊,我看直接找這個保全公司大概機密就可以洩露了。所以這個有可能國安局也必須要嘗試去協助,就是我們在契約訂定上面,我們可能沒辦法直接做這個公司,但是假設我們的關鍵基礎設施是有外包的,它外包契約上面有一些標準的要求,是不是可以與我們局裡面做到的要求一致,我們在契約上要求其他廠商也做到這樣? |
| 20 |
蔡局長明彥:這部分我們可以提供給其他部會來參考,我想委員很正確的提出來,就關鍵基礎設施的維護,現在可能有很多的單位都非常重視委商,假如在資安管理的授權權限過高的話,他很有可能會造成一些資安疑慮的問題。另外,怎麼樣透過契約的方式,讓廠商有更大的一個權責,必須要負起相關資安外洩的責任,這部分可能契約要來加強。 |
| 21 |
再來,相關委外的廠商有沒有涉入背景的查察,這在我們國安單位向來是列為最優先的工作,但這部分在政府其他單位,感覺上這方面的知覺還不太夠,我們再提醒各單位應該要來注意這部分的重要性。 |
| 22 |
沈委員伯洋:好,沒問題,我們就希望不要再有案例發生,這個我們之後再來多討論。 |
| 23 |
蔡局長明彥:好。 |
| 24 |
沈委員伯洋:因為時間關係,謝謝。 |
| 25 |
蔡局長明彥:好,謝謝沈委員。 |
| 26 |
沈委員伯洋:謝謝主席。 |
| 27 |
主席(洪委員申翰代):謝謝,接下來下一位請王定宇委員。 |