立院教文會考察故宮資安防護 蕭宗煌認「圖檔外流」爲同仁疏失

去年故宮發生高階圖檔外流情形,故宮院長蕭宗煌表示,事件確實是同仁一時貪快造成,後續會加強同仁資安觀念,並已強化資訊安全、保護的作業機制。(本報資料照)

去年6月發生故宮高階圖檔外流情形,立法院教育文化委員會召委範雲22日召集赴故宮考察資安防護機制,故宮院長蕭宗煌表示,事件確實是同仁一時貪快造成,雖事後調查不涉及外部入侵或內部外流問題,但疏失造成的損傷有可能比駭客更爲嚴重,後續會加強同仁資安觀念,並已強化資訊安全、保護的作業機制。

蕭宗煌指出,open data是國際趨勢,在全球的智財論戰中一直有聲浪指出,藝術家創作滿50年後基本上應屬公共財,「開放是大潮流」但以故宮而言高階的圖檔仍有管理、專業拍攝等成本,如何兼顧全球博物館的智財開放趨勢,以及保障授權圖檔及延伸商品的利益仍需要更多的討論與思考。對於外界認爲故宮對資安觀念不足,對外溝通腳步過於緩慢等,也會持續檢討加強。

故宮圖檔被外界透過軟體工具拼湊成高階大圖外流。(李怡芸翻攝)

蕭宗煌也指出,此次被觸及而外流的10萬頁圖檔,本在去年開放600萬畫素圖檔的40萬頁中,故宮開放圖檔也是因應國際智財趨勢,目前未開放更高階圖檔,他不諱言是評估多數人使用、瀏覽圖檔的流暢度,「 3年前很多人100萬畫素都打不開,容易卡住或當機,就會來罵。是評量現在電腦線上效能陸續開放,雖也不能說這些圖在幾年後都會開放,但確實是在開放之列。」

召委範雲質疑何以去年6月發生的圖檔外流事件,卻未如數發部要求在事發1小時內通報,而遲至今年3月14日才進行資安通報?蕭宗煌表示經查事件非駭客入侵,而是外界透過免費對外開放的資料庫,利用工具擷取局部瀏覽圖檔後拼湊而成,非典型的被駭事件,同仁因此並未進行通報,今年在新聞爭議後數發部要求進行通報時,也選不到相應的欄位可填,「問了唐鳳部長後,用另外的表格填寫才通報完成」。

故宮數位資訊室科長林育生也示範指出,坊間透過許多免費軟體都能將IIIF圖檔進行拼貼,3000萬畫素的圖檔僅需幾秒就能拼貼完成,本是國際博物館間交流圖檔所用,故也未列爲駭客工具入侵。數位資訊室專委陳中禹報告指出,目前故宮已檢討強化資訊設備使用軌跡紀錄等相關設備與程式運用,內部也已全面 盤查各單位典藏高階數位圖檔存放地點、檔案存取方式、檔案保護機制等,並完善系統自動化調檔作業,以電腦取代人員手動辦理取檔、浮水印及像素降階作業,阻絕人爲疏失與風險。

目前故宮盤點可查知外流的高階圖檔,書格網分享約1000餘頁與故宮已開放資料重疊,屬無償公開下載,推測皆爲局部截圖重組而成;淘寶販售圖檔從數千到上萬不等,但每個圖檔僅個位MB容量,推斷大多非外流的高階圖。故宮於3月17日由律師發函書格及淘寶網,要求將相關分享或商品頁面下架以維護相關權益。