| 0 |
葛委員如鈞:(11時17分)謝謝主席,有請數發部林宜敬部長。 |
| 1 |
主席:請林部長。 |
| 2 |
林部長宜敬:葛委員,早安。 |
| 3 |
葛委員如鈞:部長好,恭喜部長就任一個月。 |
| 4 |
林部長宜敬:謝謝。 |
| 5 |
葛委員如鈞:希望數發部有不少的legacy,講好的是傳奇、講不好的是挑戰,我想我們就一起來努力。自數發部成立以來,到目前為止,一共只送過2部法案到立法院審查通過,一部是電子簽章法,另外一部是資通安全法,今天想就這兩部法的施行與部長討論。 |
| 6 |
首先是資安的部分,不知道部長是否已經體驗到,相信你應該知道現在資安領域有非常多嚴峻的挑戰。Trend的Cyber Risk Report提到我們在許多的資安風險指標上名列前茅,雖然我們有非常多的資安人才,而且都是一等一的,但是我們可以看到勒索軟體攻擊的數量在世界排名第四,四十七萬多次,也看到惡意程式偵測數量在世界排名第五,一共偵測攔截1.7億次。 |
| 7 |
部長,我們資安界有時候會提到木桶理論,木桶的側板最低的部分就是水會漏出來的部分。我們也在今周刊看到2024年到2025年9月之間上市櫃公司發布的資安重訊,資安威脅的總數有116件,受害的除了科技業,還有鋼鐵、塑膠、食品及紡織等等的傳統產業,而且在受害公司當中有很多的數據也很精采。資本額在100億元以下的公司占78%,但是有一半以上的公司資本額則是在10億元以下,表示什麼呢?臺灣168萬家中小企業占我們總體企業總量的98%以上,正在成為駭客眼中的肥羊,數發部一直提出的公私協力、建構全社會資安防禦韌性,不應該只是口號。 |
| 8 |
這次也非常感謝我們大家一起努力,讓資通安全法修正通過,其中第四條,規定政府應協助民間處理、因應及防範重大資通安全事件,這是本席在此次修法版本中最重要的主張之一。行政院預計在115年3月23日實施,目前還沒有正式上路,數發部現在應該正在進行協助民間提升資安防護的規劃。請問部長,目前數發部打算如何協防民間資安?錢在哪裡?人又在哪裡?115年度預計投入多少預算及人力進行所謂的民間資安聯防? |
| 9 |
林部長宜敬:謝謝委員的垂詢,中小企業的資安的確是一個很大的問題,通常…… |
| 10 |
葛委員如鈞:這是我的題目,謝謝。 |
| 11 |
林部長宜敬:我正要講嘛! |
| 12 |
葛委員如鈞:我的時間有限,你可不可以就告訴我多少錢、多少人?我的時間有限,多少錢、多少人?115年,謝謝部長。 |
| 13 |
蔡署長福隆:謝謝委員,資安法的這條通過其實對整個民間企業的資安防護非常重要…… |
| 14 |
葛委員如鈞:你不要重複我的問題。 |
| 15 |
蔡署長福隆:我們明年的預算編列大概是1億元左右的經費,support整個中小企業與一般企業的部分。 |
| 16 |
葛委員如鈞:我們有這麼多的案件、這麼多的重訊,我們花1億?知道1億元可以在臺北買幾棟房子嗎?這個到底是不是符合……請部長看一下,你們在官網上寫「建構全社會資安防禦韌性」,編1億啊?夠不夠啊? |
| 17 |
林部長宜敬:不夠。 |
| 18 |
葛委員如鈞:對嘛!這個對嗎? |
| 19 |
林部長宜敬:委員,讓我解釋一下,基本上,編再多的錢都不夠,因為臺灣有太多的中小企業,如果全都要靠政府是不行的,政府能做的第一個是我們分享資訊,因為我們資安的特性就是補住漏洞,之後駭客又會不斷地找新的漏洞,所以很重要的是發現一個新的資安漏洞時必須盡快地把資訊傳給所有的中小企業知道。 |
| 20 |
葛委員如鈞:謝謝部長,我不認同你剛剛說的編多少錢都不夠,那就不要編了嘛! |
| 21 |
林部長宜敬:不是,我們有其他方法去做。 |
| 22 |
葛委員如鈞:不是這個意思嘛! |
| 23 |
林部長宜敬:對,當然不是這個意思。 |
| 24 |
葛委員如鈞:你剛剛提到的其實是過去我們沒有這個資安聯防的法規法條,現在我們已經修法通過第四條,政府應協助民間處理、因應及防範重大資通安全事件,所以我們就應該要編列預算嘛! |
| 25 |
林部長宜敬:是。 |
| 26 |
葛委員如鈞:1億不夠,我們要增加,對不對? |
| 27 |
林部長宜敬:是。 |
| 28 |
葛委員如鈞:如果1年不夠,我們可不可以有一個3年期、5年期的計畫?不好意思!這不是在對抗,我們是要一起幫助民間。 |
| 29 |
林部長宜敬:是。 |
| 30 |
葛委員如鈞:幫助臺灣的資安,好不好? |
| 31 |
林部長宜敬:是。 |
| 32 |
葛委員如鈞:數發部可不可以為健全民間企業資安防護向行政院爭取編列中長程的計畫來因應?我們一起來努力,有沒有機會?可不可以,部長?能不能承諾? |
| 33 |
林部長宜敬:當然可以啊!希望委員多支持! |
| 34 |
葛委員如鈞:當然支持啊! |
| 35 |
林部長宜敬:感謝! |
| 36 |
葛委員如鈞:這個我們關注嘛!編列1億元要與民間協防,真的是太不夠了。 |
| 37 |
林部長宜敬:是。 |
| 38 |
葛委員如鈞:部長,再來要提到人力的問題,資安署176人、資安院230人,對於要協防168萬家中小企業,很可能真的不太夠。 |
| 39 |
林部長宜敬:是。 |
| 40 |
葛委員如鈞:我們一起來共築資安防線的部分,像鄰近的韓國就設了全國性漏洞通報獎勵制度,鼓勵白帽駭客一起共同協防網路安全,我們知道像是TeamT5、DEVCORE等等都很強,部長,為了彌補資安人力不足的問題,數發部可不可以研議參考韓國的作法,設置相關的漏洞通報獎勵機制? |
| 41 |
林部長宜敬:是,我們也有漏洞通報獎勵機制,請資安署署長來說明。 |
| 42 |
蔡署長福隆:報告委員,我們從今年9月份開始就訂了一個白帽駭客漏洞獵補計畫,雖然我們給的獎金不像國外那麼多,不過也是有獎勵的制度。 |
| 43 |
葛委員如鈞:已經上線了嗎?開始了嗎? |
| 44 |
蔡署長福隆:9月份公布這項計畫,明年1月份會開始實施。 |
| 45 |
葛委員如鈞:好,高手在民間啊!我幫數發部整理了獎金制度,希望能夠有一些對齊,國際企業當然比較高,在10萬美金以上,蘋果甚至到500萬美金,大型跨國企業也有到1萬美金以上,國營事業大概是5,000美金,韓國政府是高達20萬元,新加坡政府則是高達30萬元,因為資安對臺灣很重要,我們真的是不能落後。再者,其實還有一些白帽駭客為的不是錢,而是譬如榮譽,像Synology對於白帽駭客的協防做了一個公開表揚,甚至有的政府在訂定白帽駭客獎勵制度之餘,還會給予法律保護,關於這一點……不好意思!主席,借用一點點時間,因為資安真的是對我們臺灣非常的重要。 |
| 46 |
我們能不能一起來考量,這是比利時的例子,為了讓他們免於在測試或幫忙的過程中不小心觸法而被起訴,部長,我在這裡還要先向你提出一點,台電公司很好,提出這個漏洞懸賞,但是要獲得最高獎金,它說務必提出進入企業內網網段之佐證,抱歉啊!根據臺灣的刑法,這樣做就違法了,可能會被抓起來,台電就變成「蜜罐攻擊」要攻擊白帽駭客了?不能這樣做,好不好? |
| 47 |
林部長宜敬:是。 |
| 48 |
葛委員如鈞:這個能不能與他們稍微討論一下? |
| 49 |
林部長宜敬:沒問題。 |
| 50 |
葛委員如鈞:本席在此具體向數發部提出四點建議,第一個,政府預算雖然無法與企業相比,但是與其他國家相比,獎金可不可以不要落差太大,好不好?拜託!第二個,數發部有沒有架設專屬的網站,具體表揚對國家資安有貢獻的白帽駭客,甚至可以稱它為國帽駭客,對不對?第三,現行法律制度之下,有很多白帽駭客在幫忙的過程會有觸犯刑法妨害電腦使用罪的風險,可不可以請相關部會及國營事業具體提供一個保護的措施,甚至討論修法的可能性?最後,希望數發部能夠邀集資安代表一起研議,看看是否有其他的特殊獎勵,譬如國家勳章或特殊禮遇通關等等,他們也是守護國安的英雄嘛!對不對?虛擬世界也非常重要啊!我們可不可以針對這個部分一起來努力? |
| 51 |
林部長宜敬:是,委員的建議非常好,感謝委員,我們會努力往這個方向走。 |
| 52 |
葛委員如鈞:最後一個問題,電子簽章法修法從去年5月施行至今,有沒有行政機關向數發部提出要延後適用電子簽章?有沒有? |
| 53 |
林署長俊秀:報告委員,沒有。 |
| 54 |
葛委員如鈞:沒有,好,OK,謝謝!感謝主席、謝謝數發部! |
| 55 |
主席:好,謝謝葛如鈞委員、謝謝部長。 |
| 56 |
接下來請李昆澤召委質詢。 |