3年編2.1億強化資安 議員轟柯市府資訊安全不堪一擊
記者陳家祥/臺北報導
臺北市議員周柏雅發現,市長柯文哲2015年上任後編列2億1千萬元的資安預算,其中由資訊局負責全府共通性資安防護,含骨幹網路防護阻擋、弱點掃描、防毒防護等等,共花費近7千萬元。但花了這些資訊安全防護預算,北市資安仍如雞蛋般不堪一擊,至今發生了17次資安事件。
檢視柯文哲上任至今,已發生有17案資安事件,平均每年發生5到6案。其中較重大的有2017年1月爆發薪資發放管理系統,外界免登入就可下載報表內容,泄漏幾萬筆「姓名、身分證、銀行帳號」,還被行政院點名爲3級資安事件(最嚴重四級);2017年8月志工管理整合平臺,又泄漏1萬8千名志工個資;2016年6月2日臺北市立聯合醫院的網路掛號系統也有「SQL Injection漏洞」,這個漏洞也有可能造成機敏資料外流的風險。
周柏雅表示,早在2014年監察院決算審覈報告,就已提醒北市府資安鬆散,結果還是出包。這些嚴重的個資泄漏案件,有些都還是資訊局本局自己委外發包的,連資訊局自己都找不到網站漏洞,還要外界幫忙「DeBug」,令人不禁懷疑資訊局的專業性。
周柏雅指出,資訊局近5年來卻僅有2位專責人力及1名兼辦人力,在執行這方面的工作,每年編列約342萬元預算;周柏雅質疑,這些人最大的工作就是負責跟委外廠商連繫、反映民衆使用市府APP、網站等出了哪些包,「就算多聘,又如何可以證明這些人的專業能力是否足夠呢?」
資訊局解釋,每年都有規劃定期的網站弱點掃描與APP檢測,提早因應可能的資安攻擊事件。但資安易攻難守,除例行性的資安防護外,明年也將增列資安預算擴大資安聯防及提升檢測能量。
至於日前鬧得沸沸揚揚的wifi WPA2加密機制漏洞,資訊局除了將檢視北市府所有無線網路設備外,亦主動要求無線聯盟成員進行設備韌體更新,公私協力防患於未然。
▼柯市府資安事件統計。(圖/議員周柏雅研究室提供)