禁用危害國家資安產品 數位部「這原因」不公佈清單
數位發展部進行資安法修法,草案條文禁止公部門使用「危害國家資通安全產品」。立委洪孟楷今質詢數位部,究竟有多少產品在清單,資安署長謝翠娟表示,總計有10多個大項,仍在使用有1000多個產品,目前採限制使用管制。(翻攝自國會頻道)
數位發展部進行資安法修法,草案條文禁止公部門使用「危害國家資通安全產品」,但擔憂產品曝光可改名規避,因此清單都未公開。立委洪孟楷今質詢數位部,究竟有多少產品在清單,資安署長謝翠娟表示,總計有10多個大項,仍在使用有1000多個產品,由於部分產品仍有資料庫業務查詢需求,因此採限制使用。
洪孟楷說,數位部修正資安法,有定義什麼是危害國家資安產品,有無產品清單。對此,數位部長唐鳳說,中央盤點中共可以實質控制,包含軟體、硬體、服務,某些部會有限期,限期汰換,斷網確保後續也不會有影響。
謝翠娟說,目前公部門還在使用的有1000多個產品,採限制性使用,資安長同意纔可使用,一切都有掌握。
不過,洪孟楷質疑,是否有下游廠商使用的部分,這些是否要公佈,像是先前臺鐵車站螢幕也有駭客入侵,臺鐵就推給下游廠商。唐鳳說,自己上任第一個公文,就是簽署公衆場域像是臺鐵比照公務場域,也要納管。
洪孟楷追問,未來數位部限制廠商挑契約裡面的產品嗎?唐鳳說,若裡面沒有在清單,就要跟數位部確認,弱勢全新產品、公務系統沒有用過,數位部會看北京政權是否有實質控制該產品。
洪孟楷呼籲數位部不要因咽廢食,若只是用消極作爲,逾越權限都是過猶不及。
立委林俊憲質疑,政府一年採購20萬件資安設備,每一件產品都要問數位部,可行嗎?唐鳳說,數位部已跟工程會討論,將資安相關規範放進新的採購契約內;謝翠娟表示,機關有兩方法,沒有問題的產品可直接查詢到,有疑慮可以請廠商出具說明書、有疑慮可以再來問。
不過,林俊憲詢問,要廠商出具證明,對方當然說沒問題,資安法沒有罰則,使用單位認爲沒問題就買了。謝翠娟說,稽覈會發現,跑採購程序就會知道,且產品上網更新後就知道漏洞。