| 0 |
羅委員美玲:(9時18分)謝謝主席,有請數發部林政次。 |
| 1 |
主席:請林政次。 |
| 2 |
林次長宜敬:委員好。 |
| 3 |
羅委員美玲:政次好。有關於10月底微軟有提出了一份2024數位防禦報告,裡面提到國家級的網路攻擊已經開始結合網路犯罪工具以及生成式AI技術,導致全球的資安危險是進一步升高,本席引用了這個報告的圖表,我們可以看到,在國家級網路攻擊行為者的目標名單當中,臺灣是排名全球第6,而且是印太地區第1名。 |
| 4 |
我們看到這份報告也列出了網路攻擊的10大目標產業,其中第一名就是我國的核心戰略產業之一的IT產業,關於關鍵基礎設施的政府部門,比如說像運輸業、金融業、資訊科技產業還有金融業等等,都是位列其中,一旦這些設施遭到攻擊的時候,對社會穩定跟經濟的秩序,就會帶來很直接而且巨大的衝擊。本席想請教,生成式AI現在被廣泛用在這種資安威脅當中,我們除了自動生成惡意程式之外,因為我看到了各部會的報告裡面特別有提到,像它可以自動生成惡意的程式之外,能夠協助計畫跟管理複雜的攻擊流程,像過去耗時的攻擊手段,可以更快、更頻繁地執行。 |
| 5 |
我很詳細看了數發部提交的報告,我們目前是將零信任架構的防禦機制導入到各行政機關,就是要對資安的防禦來做一些防護的措施,我們從這個表裡面可以看到,初期當然是針對資安責任A級機關為優先,並依序要導入身分鑑別機制、設備鑑別機制跟信任推斷機制,可是我在查閱了數發部、資安署跟資安院這三個單位,我們看近年來跟明年的預算書,可以發現對於零信任架構的執行成果跟未來推動的目標,各單位揭示的程度並不一致。我們來看112年推動的成果,本席有發現數發部已經完成了22個資安A級機關的身分鑑別機制,可是設備鑑別機制、信任推斷機制目前還沒有看到。而數發部資安署已經完成了兩個政府機關的設備鑑別機制,然後國家資通安全研究院也完成兩個中央部會的設備鑑別機制。我再次看114年的預算書,這個可能很需要數發部來做個解釋,為什麼我們只看到國家資通安全研究院是準備要導入19個資安A級的機關來做設備鑑別機制,可是數發部跟資安署這裡,我沒有看到任何設定的目標,這個部分可以來解釋一下嗎? |
| 6 |
再來還有一點,112年我們推動的成果已經完成導入了22個資安A級機關利用這個身分鑑別的機制,可是我看到媒體報導是年底的時候會完成47個,到底現在進度是如何?因為現在也快要年底了,所以這幾個問題,想請政次來回答一下。 |
| 7 |
林次長宜敬:關於零信任機制,這個是我們數發部持續在推動的保護資通安全的一個重要措施,當然,導入零信任機制的時候,對於使用者來講會增加一些困難,所以我們也受到一些阻力,這個我們必須很坦白地講。 |
| 8 |
羅委員美玲:受到一些阻力?因為我發現我們的預算書或是成果的報告裡面,這部分讓我們常常會有一些疑問,為什麼我們找不到這個資料,到底是發生什麼問題?所以現在政次是說在推動的過程當中遇到了一些阻礙嗎?這個可以特別說明一下嗎? |
| 9 |
林次長宜敬:抱歉,很坦白地跟委員報告,由於這個部分並不是我督導的,所以我請資安署來說明。 |
| 10 |
羅委員美玲:OK,好。 |
| 11 |
趙組長由靖:報告主席跟委員,資安署的部分有關零信任的計畫其實是資安署委託資安院合作一起導入執行的,所以這個並不是只有資安院在執行,是我們一起在進行。 |
| 12 |
羅委員美玲:是。我有看到,是沒錯,我是說為什麼我們也看不到進度?而且要完成47個身分鑑別機制也是我在媒體看到的,一般在你們報告書裡面看不到,所以剛剛政次有提到碰到了一些阻礙,是怎麼樣的阻礙呢?零信任架構也推行了這麼多年,我們總覺得好像推得卡卡的,這部分到底是怎麼回事? |
| 13 |
林次長宜敬:跟委員報告,零信任機制是對抗駭客一個非常有效的手段…… |
| 14 |
羅委員美玲:是,沒錯。 |
| 15 |
林次長宜敬:但是一般對所有使用者來講,就是我每次在登入的時候,譬如說密碼就必須重新再輸入等等…… |
| 16 |
羅委員美玲:是,它是有關關的關卡,我們知道。 |
| 17 |
林次長宜敬:對。 |
| 18 |
羅委員美玲:所以其實這相對來講,是一個比較安全的機制嘛! |
| 19 |
林次長宜敬:是。 |
| 20 |
羅委員美玲:對,可是為什麼我們在公部門推行的,覺得好像不是那麼順利?照理來講公部門要配合來做才對啊! |
| 21 |
趙組長由靖:報告委員,資安署在辦理零信任部分是分三個階段在進行,前兩年已經把零信任的前兩個階段導入到22個機關,接下來我們會針對47個機關進行,所以是以逐步的計畫在進行。 |
| 22 |
羅委員美玲:47個年底會完成嗎?因為我在媒體看到說會完成…… |
| 23 |
趙組長由靖:是,沒錯。 |
| 24 |
羅委員美玲:我們總共有49個A級的資安機關嘛,因為文化部跟退輔會在試辦的時候就已經完成了,導入三個機制,所以我們剩下總共還有47個,而22個也在112年的時候已經完成身分鑑別機制了,可是設備鑑別跟信任推斷這部分,本席到目前都還沒有看到,那剩下的呢?我們總共47個會累計完成嗎? |
| 25 |
趙組長由靖:是,在今年年底就會完成47個A級機關的導入。 |
| 26 |
羅委員美玲:好,再來,你看我們自己公務部門、公務機關的推行好像都這麼卡卡的,更何況我們還有44個資安A級特定非公務機關,那什麼時候才能夠導入?因為這些都是國家關鍵基礎設施的提供者,像台電、中油、臺大醫院、臺鐵、高鐵、銀行等等都是,所以目前都還沒有進度,對不對? |
| 27 |
趙組長由靖:我們目前先導入的部分是公務機關,那CI的部分,我們會陸續在明年開始推動。 |
| 28 |
羅委員美玲:OK,好,這個要加油,因為我們在資料上真的看不到,就覺得這部分推行的好像不是那麼順利。再來,我在8月份的時候,有看到我們黃部長提到年底要推出人工智慧風險分級框架,我本來想說你們這次的報告書裡面會提到這部分,可是發現你們隻字未提,這個會來推行嗎?他說年底就要推出了耶!那這部分呢? |
| 29 |
林次長宜敬:OK,跟委員報告,關於人工智慧風險分級框架,事實上現在還在一個討論的階段,最主要的問題是在於歐盟跟美國的作法是非常不一樣的,歐盟那邊他們是用分級的方式,就是把人工智慧分成好幾個危險程度,然後在最高的、最危險的那個層級,他們是禁止使用的。但是美國那邊是用分類,而不是用分級的方式,他們只是利用行政部門由美國總統發出的名義簽署發布了一個指引,就是我們使用人工智慧有什麼危險。因為美國認為所謂regulation hinder innovation,他們的概念是這樣,所以他們不希望做這種明確的分級與禁止的動作。美國也明確的跟我們這些自由世界的夥伴國家講,他們不希望其他的國家是用歐盟那樣的方式,因為歐盟那樣的方式,會限制到的大部分都是美國的公司,因為我們知道現在在AI方面主要在進行先進研發的公司,像OpenAI、Google、Meta都是美國的公司。所以歐洲他們是主張用限制的方式,用立法限制的方式,而美國是希望說用分類以及用行政方式發布指引,就是提醒大家風險在哪裡的方式。事實上在整個社會,我們還必須經過一番討論決定要走往哪個方向,這件事情我們已經…… |
| 30 |
羅委員美玲:所以黃部長所提到的,年底本來想要來推行人工智慧的風險分級框架,目前是推不動的意思嗎?因為目前還有待社會上的對話,是這樣子的意思嘛?所以年底之前就沒有辦法來推行囉?那部長話有點講得太快了一點是不是? |
| 31 |
林次長宜敬:是,因為這個計畫主要是……目前這個人工智慧基本法是由國科會主導在推動的,我們會配合國科會的計畫,努力做我們該做的事情。 |
| 32 |
羅委員美玲:OK,好,相關AI的風險問題,之前我跟國安會其實也做了很多的討論,本席是建議像資安署、國安會還有國科會,甚至我們資安研究院,應該要成立一個類似跨部會,類似這種AI資安技術聯防的一個小組。我本來期待我們的風險管理框架在年底的時候可以看得到,可是目前政次的意思是這個部分還有很多討論的空間? |
| 33 |
林次長宜敬:是,不單單是臺灣內部還有很多討論空間,事實上,在整個國際上,這個都是一個正在熱烈討論的議題,我們在…… |
| 34 |
羅委員美玲:對,因為我們也有看了,也參考了其他國家比較成熟經驗的RMF,這個部分的話像美國NIST有提出了人工智慧風險管理框架,像這部分是不是也來做參考? |
| 35 |
林次長宜敬:是。 |
| 36 |
羅委員美玲:再來是FAIR,我想FAIR最近在金融業跟企業界也滿常用的,當然可以參考的標準很多,對於資安安全來講,臺灣是一個受到假訊息跟資安嚴重威脅的國家,我們希望有自己的架構出來。OK,以上,謝謝。 |
| 37 |
林次長宜敬:好,謝謝委員。 |
| 38 |
主席:謝謝羅美玲委員。 |
| 39 |
接下來我們請洪申翰委員上臺質詢。 |