iVOD / 169797
本逐字稿內容由 AI 自動生成,可能包含錯誤、遺漏或誤譯之處。請使用者務必與原始影片音訊內容交叉比對,以確保資訊正確性。另可參考立法院日後釋出的正式公報以取得最終權威版本。
魯明哲 @ 第11屆第5會期交通委員會第16次全體委員會議
| Start Time | End Time | Text |
|---|---|---|
| 00:00:03,444 | 00:00:15,110 | 好 謝謝主席 有請我們數位部林部長我們資安院林院長資安署蔡署長好 請蔡署長委員長安好 早 |
| 00:00:21,249 | 00:00:40,667 | 上次4月8號質詢你特別談到我們資安院發生內鬼的問題這件事情就是說在一個多月以前他們已經來跟我報告所以我都會掌握到這個狀況因為一開始我們也不曉得說那個牽涉的範圍到底是多大所以這個當然是在這個調查的過程當初是非常重要的 |
| 00:00:41,448 | 00:00:55,941 | 所以我希望你跟治安院好好去講一下這件事情不能說誰犯錯就抬下來其他沒事大家繼續我覺得絕對不可能這件事情我覺得有嚴重的管理問題要去處理管理商的問題絕對會處理這不管怎樣這個我們絕對會處理謝謝委員提醒好現在回來看我們4月8號你跟我這個詢答一個答案當時我們的院長林院長也站在旁邊了院長你可以上來一點 |
| 00:01:08,260 | 00:01:26,290 | 我看你支支吾吾的回看這影片我自己都快我覺得快笑出來了我真的很佩服你們請問一下部長你先答一下好了你當時就說4月8號問你嗎一個月之前大概3月你知道嗎然後到現在為止剪掉5月12號又衝進去 |
| 00:01:29,952 | 00:01:49,754 | 是我覺得這丟人真的丟人丟到世界去了搜索第二次那請問一下你查你現在查狀況怎麼樣查到哪個層級還要檢調進去抓人還是你自己知道那個跟委員報告一下並不是因為我沒有辦法所以才找那個調查局因為本來調查這種事情就是 |
| 00:01:50,174 | 00:02:13,165 | 最好除了自己內部調查以後我們是希望由調查局來調查這個是比較客觀的那該查得出來這樣有些事情這樣才查得出來那你行政的部分你到底做什麼來我們來看一下這明明就有很多的一個憲報然後有很多吹哨子很努力的在人群中一直舉手 |
| 00:02:14,486 | 00:02:39,435 | 相關的人員 今天你的署長上來 你是董事 你代表董事會待會問你喔 你不是署長喔你們董事到底幹了什麼事 到底懂不懂事 待會你要說明一下喔1月20號 吹哨子就向卓院長喔來舉報我們林院長處罰 是真的假的 不知道嘛我每次都講說是假的 你要把它還一下 清白嘛 對不對如果是真的話 我們還在裡面質詢什麼 什麼東西啊然後你們1月23號那個院長轉給你們喔 你們由你們數位部 |
| 00:02:43,564 | 00:02:58,681 | 回覆 當事人 這個案子喔 正在調查中你是不知道這個檢決案 調查如何 請說一下是你數位不回的嘛是 那個 呃你沒有看過那個案子嗎舉發那個 呃 處罰 你指的是這一條嗎 |
| 00:03:03,221 | 00:03:20,312 | 還是那個簡單來講內容就是舉發這件事情不是到副主任有可能是院長的一個指示林院長這個的部分你有沒有看到這個訊息過因為如果是照這個訊息來講因為是向卓院長舉發那通常這種舉發算是他檢舉我們這個 |
| 00:03:24,535 | 00:03:39,593 | 資安院的林院長那你們回覆立案調查中會有結果就回覆這個回覆沒有啊你們調查結果出來沒有還是誰知道你們誰在調查我們請那個資安署署長說明你們這個有收到這個案子有調查結束沒有 |
| 00:03:40,494 | 00:04:00,996 | 跟委員報告就是有關於檢舉院長的這個部分因為院長是一個管理者所以是交由董事長這邊來處理要董事長嗎對因為院長的事情你董事你們董事會三個月開一次在事發之後你們開過幾次董事會開過兩次其中三次董事會有沒有處理 |
| 00:04:02,538 | 00:04:25,295 | 這個部分是由不是冤枉就幫他申冤嘛如果有事實人家拿這麼多事實在裡面的話到底這個事實是不是真的你們有沒有討論這個事情有跟委員報告就是說因為院長的事情所以我們特別在董事會裡面我們請監察人組一個專案的調查小組做一個調查那也找外面的專家就是法律的專家跟學者一起參與這個調查小組做調查 |
| 00:04:27,756 | 00:04:48,763 | 調查結果之後有送給這個董事長這邊來所以你們那個李董事長是不是在護航我也不清楚啊你們覺得丟人還丟得不夠丟人丟得不夠很多事情你們自己如果發覺是事實你們還要說大家來查我然後後面真的查好了我相信早晚就事實會露出來嘛那部長再請教你 |
| 00:04:50,023 | 00:05:16,926 | 你上次請教你的時候你不知道事情的範圍你現在看起來還是沒有很清楚那當時林院長好像也答得不清楚並不是說我不清楚因為在調查的過程中當然有正反兩方的意見那我現在如果公開講這件事情的話這個對於這個檢調這個過程我們通常都會講檢調不公開嘛那我事實狀況都會掌握到那可以說的部分就是可以說不能說的部分我當然不能說啊否則我本身會違法是 |
| 00:05:18,027 | 00:05:34,408 | 那如果真的違法人還站在這邊我們來質詢還在跟他聊這個案情會不會有一天會變得很無聊啊我真的很擔心這個事情啊當5月12號第二次搜索向上發展已經有三個人涉案現在第四個人許副主任會不會向上延伸呢那我請問一下這個林恩達院長 |
| 00:05:36,018 | 00:05:53,956 | 院長我請問一下你覺得這個事情只有兩種發展的可能性比較有可能第一個是這三四個人自己偷偷做偷偷做就莫名其妙這個三四個人就串在一起了一起一心一德去做一件事情這是一種可能性第二種是根本是一個行政的指示 |
| 00:05:54,657 | 00:06:16,673 | 行政指示這個用社交工程來去攻擊我們自己的這個部分是一個行政指示就你知道這個許副主任這個上面有你們不管是院長副院長有沒有人指示透過這個郵件組織的漏洞來去做社交工程的一個練習你知道這個行政指示還他們自己幾個共謀 |
| 00:06:19,718 | 00:06:43,111 | 這是許到目前為止就是許副主任他的指示那這個部分當然就是目前我們的行政調查看到的那當然檢調有兩波的約談第一波的約談主要是根據我們的院內掌握的在伺服器上的數位足跡 |
| 00:06:44,151 | 00:07:01,440 | 去鎖定幾個對象做約談那這一波約談之後我們有做解聘的動作因為違反這個勞動契約裡面不得試探非己業務的機密第二波約談是根據檢調所掌握的這個 |
| 00:07:08,984 | 00:07:35,658 | 個人電腦跟手機上面的數位足跡那我們會找檢調來介入調查主要的原因也是在這裡因為我們沒有公權力去介入去調查同仁的個人電腦跟手機林議長請問一下你跟涉案的第一次涉案的彭組長彭敏軍組長你們本身之前熟不熟在你來資安院的時候之前熟不熟 |
| 00:07:37,445 | 00:07:46,740 | 在我們在在治安院裡面才變熟的那當然有很多他是你在治安院前身的治安卓越中心的同事對不對 |
| 00:07:49,579 | 00:08:08,919 | 對那有人說他是你的愛將但我沒證明這怎麼回事因為這個事情很奇怪嘛這個事情在你們治安院一般這種不管是用駭客去練習這是誰的工作是檢測中心的工作檢測中心的一個不同單位怎麼會交代這個前瞻中心這個組長 |
| 00:08:12,092 | 00:08:37,458 | 3月19號去年3月19號你有沒有開過一個會議委員可能把這個部分跟社交工程演練的部分跟這個漏洞的部分搞在一起你去年3月19號開會主管會議內部在業務討論中間有沒有討論到資安社交工程郵件供給跟線上報告社交工程你還記得這個會議嗎 |
| 00:08:40,990 | 00:09:04,321 | 他有跟我提說要做比較高強度的社交工程演練那我當時有同意你有同意嗎我同意當時彭敏軍主管跟你的報告的題目叫做資安院社交工程郵件攻擊分析在那邊報告完之後到底是誰准的啊你剛剛講說你有同意嘛所以你同意了這件事情嘛 |
| 00:09:04,901 | 00:09:19,306 | 你同意這件事情然後事情是不是就後續發生了到底是怎麼回事這跟後面的後續他們所開發的系統去找去用透過這個各種伺服器軟體所以你同意的是什麼 |
| 00:09:19,986 | 00:09:41,839 | 同意社交工程其實原本很多人搞不清楚什麼叫社交工程跟駭客什麼關係啊駭客啊覺得寫程式去攻擊太麻煩了而且這種陌生的東西大家現在都很警戒社交工程就用你的朋友好像我的上司寄一封信給我用你熟悉的人事物去騙比較快所以你用這種社交工程做優先攻擊你確認你也承認了3月19號你有同意 |
| 00:09:44,921 | 00:10:05,383 | 這件事情那同意這件事情只是你不知道說這個事情他們是這樣去做沒有他們就是攻擊跟你報告的郵件主機啊就攻擊啊攻擊把資料拿出來委員那個我只有同意社交工程演練沒有同意去利用漏洞這兩件事是獨立的 |
| 00:10:06,184 | 00:10:30,580 | 那他們後續有用到利用漏洞去抓院內的資料那個是另外一件事那是我沒有同意的我也不支持同種程度不是就在找哪裡可以有漏洞去攻擊嗎那所以內部會議的一個重點其實我講真的開會又不是你一個人一堆的資訊都傳出來了那也寄到了卓議院長的辦公室也給數位部了 |
| 00:10:31,280 | 00:10:49,067 | 那董事會也知道了因為在去年這件事情之後六月份 居合市調查報告這兩個人都離職了一個姓劉 一個姓劉寫一個報告詳細一清二楚3月19號發生什麼事結果 向上報董事會 董事會你們在幹什麼 |
| 00:10:50,970 | 00:11:19,315 | 你李董事長帶這些董事來做什麼向上報告了向院長向部裡面舉這個人要檢舉人舉手舉到這種地步啊他這邊請問一下你當時這麼多人知道包括這麼多人知道你郵件組織有漏洞有漏洞你不修復然後咧這個前瞻中心的彭靜主任根本他不是你們檢測中心的他被交辦這件事情來做一個演練這件事情齁七合四 |
| 00:11:21,298 | 00:11:41,900 | 兩位人員他的報告裡面都有描述得很清楚所以我來問你這件事情是因為你們的集合報告也寫得很清楚我不知道要怎麼說了那我再來看在第二次搜索的前一天我不知道你們是不是得到現報了你們開了一個馬上開一個緊急會議嘛 |
| 00:11:44,329 | 00:12:11,688 | 你們緊急會議都在講啦裡面內容是什麼緊急會議管理企業報第一114年3月就3月就是這19號嘛特殊社交工程演練專案起源本來是要確認院內的email server有沒有存在漏洞和辦理不符合演練目的你們自己都去檢討這件事喔抱歉我們當時你同意的向他們去演練不符合演練目的這是你們內部的一個 |
| 00:12:13,549 | 00:12:42,091 | 計劃表啊 文件啊6月25號你們自己要有答案嘛第二執行方式未符合既有標準流程全責全責分工嘛再來第三114年3月都在講這個特殊社交工程演練專案冒用主管同仁的名義供電子郵件使用違反員工資訊安全的責任其實你們在這個檢討報告就是說我們幹了違法的事情 |
| 00:12:42,811 | 00:12:54,458 | 我們又幹了違法的事情不管是私訊管理 個資法就是我們去年3月這場會議不管是你主導的會議居然允許讓這個事情去持續的發生你有沒有責任 |
| 00:12:56,452 | 00:13:18,413 | 跟委員報告這個部分我有部分責任就是說我們這兩件事一個是說社交工程演練的發動必須要一定的程序那當時我沒有完全照那個程序所以有在集合式的檢討裡面說這個演練必須要一定的程序第二個是 |
| 00:13:19,914 | 00:13:43,622 | 剛剛委員講的這個漏洞是另外一件事就是說他們利用這個漏洞去做後續的各種抓群院內的資料這個是另外一件事那剛剛委員把這兩件事結合起來一起講就會變成混淆混淆了這是兩件不一樣的事所以你准許他的一個用社交工程去做一些這個不管是類似駭客的東西所以都不用監督 |
| 00:13:44,122 | 00:13:58,867 | 主要抱歉我交代了一件事情讓他去做但是他怎麼樣去做他怎麼打這麼用力我沒有叫他打這麼用力我的天啊你們後面他還持續在不用交代就不用監督你們不用持續監督 |
| 00:13:59,747 | 00:14:17,420 | 不用回報 你這個主管會議是不是一個月開一次他進度 誰來 誰來去監督啊欸你們治安院這樣搞的話我們就很沒有信心 你知道嗎很沒有信心董事會 董事會你代表我最後問你一下算了 你其他也不要講你們這個董事會到底在幹什麼你們現在人家這個資料是去年年中的計劃報告 去年啊就給你們董事會了你們董事會董事長在包屁是不是 |
| 00:14:28,783 | 00:14:52,373 | 不是啊 這整個的一個事情搞成這樣搞成這樣然後在去年3月份的一場會議剛剛院長說我也同意了但是社交工程那社交工程你問駭客是什麼嘛就透過什麼人脈然後去攻擊那攻擊是什麼你現在在怪他攻擊的太大力或者方式 莫名其妙請問一下你們在董事會有沒有討論過這個問題啊 |
| 00:14:54,404 | 00:15:22,046 | 跟委員報告這是5月11號不久前的一個報告是董事會裡面會針對這個集合式的這個集合的計劃跟集合結果會做一些相關的這些討論這個是會有的那至於說這個細節部分我想在董事會裡面不會談到這麼細那剛剛院長特別提到電子設計工程的這件事情來講整個過程中或許有些瑕疵不過院長的用心呢是希望說更仿真符合真實的狀況才會用到 |
| 00:15:23,107 | 00:15:43,086 | 院內同仁的一些名義來送這個社交工程郵件我想出發點還是希望說讓提高同仁在這個治安上面的一些相關警覺這個應該是檢測中心來做的為什麼他跳過給其他單位由彭主任來做你們都沒有去了解嗎所以在程序上剛剛院長也說明了就是說那個程序上的確是有一點點根據程序內來講的確是有點瑕疵好啦 |
| 00:15:45,248 | 00:16:01,941 | 就是一點點會發生一件大事部長最後我還是拜託你因為內部行政調查有它的急迫性是你司法去調查最終的一個可能結果一年兩年如果要靠這個這樣是不行的是好不好這部分我們希望你們內部有一些努力謝謝OK 謝謝委員 |