公務員的資安意識,是資安立法的最大助力/余宛如

我第一次與「資安」議題站在一起,很多人都以為是 2017 年 10 月 7 日的「政府網站沒防護,國家資訊全裸奔」記者會;事實上,《資通安全法》草案是我上個會期便已經準備好的,私底下奔走了不知道多少回。

為什麼我要投入資安法?

很多朋友不解的問我:「宛如,妳不是新創、社企立委嗎?為什麼要管資安?」

我總是對他們說:「你覺得在數位的時代,哪一個新創、社會企業不會跟網路、資訊安全有關係?如果我們需要一個讓新創、社會企業能發展的環境,資安不重要嗎?」

在數位的時代,哪一個新創、社會企業不會跟資訊安全有關係?

為此,我成立了「立法院數位國家促進會」,希望幫助政府機關與民間做好準備去面對數位時代。

我要強調的是,資安是這其中最重要的基底;一旦沒有安全維護,我們做再多的努力或成就,終都可能一夕灰飛煙滅。於是我才跨入了《資通安全法》的領域,並且提出了草案。

這次投入《資通安全法》的夥伴非常多,不只行政院資安處很積極,親民黨團時代力量黨團陳亭妃委員許毓仁委員,都提出了各自的版本。

我非常感激,這條路上不只是我一個人孤獨地走著,而是有很多人都跟我一樣看見問題。或許我們對於問題的解答可能不盡然相同,但一致的共識是,推動《資通安全法》絕對刻不容緩。

立法第一要務:讓公務員的腦中有「資安」二字。

目前提案的版本,除了行政院版本,還有親民黨團、陳亭妃委員、許毓仁委員的版本,前述版本以維護社會安全目標;而時代力量黨團的主軸,則是以補足政府資安人才為目標。

我想,政院版本看到了沒有《資通安全法》的嚴重後果,後者則看到現行《資通安全法》執行上的重要瓶頸。

過去資安難以推動的問題

但我要進一步深究的是,政院版的瑕疵在於機關定義、定位不明,以及資安權責不清;而且從「管制」角度出發的思維,可能失去厚植民間資安能量的機會,甚至有違憲的疑慮。

台灣非公務機關的資安即使未臻完善,也比公務機關進步多了;公務機關或許不能與民間機關相較,但同樣有如同行政院資安處簡宏偉處長的高手在,只是人手、資源不足。

真正的問題是甚麼?就在於每個部會、局處的資安人員都是孤軍奮戰,他們由於要幫助其他部會、局處的同事建立基本的資安概念,雖然能夠發揮所長,但卻淪為單純的資訊危機處理人員。

偏偏資安又是需要集眾人之力才能完善的事務,任何一個人的疏忽與缺乏資安觀念,都可能成為可以被攻擊的漏洞。

此外,台灣有將近9成的公家機關網頁都沒有使用 HTTPS。這些其實都是技術上不難解決的問題;畢竟缺乏技術、人才的時候,其實都還可以外包。但關鍵在於,公務人員在執行公務時如果心目中沒有資安觀念,這一切都是枉然。

如果公務員在執行公務時沒有想到資安,一切都是枉然。

因此我相信,立法真正的第一目標,應該是讓資安層級拉高、地位明確化,使它成為公務機關人員在施政時必須想到的一個重要環節。

讓資安主管機關明確、權責分明

不過目前政院版的機關單位只有含糊的定義,資安權責不清、資安能量不均,只含糊地點到行政院、公務機關、與中央目的事業主管機關。

試問,假設未來無人車出現資安問題,是由公路總局來管嗎?公路總局的資安能量與高度夠嗎?

在進一步討論前,我先讓大家看一下美國聯邦資訊安全管理法的架構:

美國FISMA架構

為了讓公務人員都能接受到資訊安全的概念,我們在設計《資通安全法》的主管機關時費了不少心思。最後,我們與其他版本不約而同參考了美國聯邦資訊安全管理法(Federal Information Security Modernization Act,FISMA)的內容與架構。

但比較可惜的是,除了我們與親民黨團盡量貫徹 FISMA 的精神外,其他版本多指著墨在「私有關鍵基礎設施」、「公有關鍵基礎設施」的劃分部分。

我們則在公私關鍵基礎設施劃分上謹慎處理外,也將治理、執行、標準制定、人才培育等資安的不同細部環節進行拆解,尋找妥善的單位共同配合;除了可以盡量落實中央、地方所有機關都能夠有資安觀念,也避免了日後權責不清,相互卸責的可能。

因權責不清,導致政府有擴權疑慮

即使這個法規與民間高度相關、也也確實需要處理私有關鍵基礎設施的部分,但是應該要尊重民間的想法與權益。

然而,行政院版本的第十八條令我產生疑慮:

中央目的事務主管機關或直轄市、縣(市)政府因稽核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文件,進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。

從第十八條來看,我要提出質疑的是,中央目的事業主管機關對非公務機關的監管權過大且自身責任未明。

草案第十五條指出:

中央目的事業主管機關或直轄市、縣(市)政府應指定關鍵基礎設施提供者,報請行政院核定。……

第十八條:

中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護計畫發現重大缺失,或遇重大資通安全事件,認有必要時,得進入受稽核或發生重大資通安全事件之非公務機關場所檢查……

雖然《資通安全法》草案行政院版本第 2 條明訂「非公務機關」是指「關鍵基礎設施提供者、公營事業及政府捐助之財團法人」,所以第 18 條的「非公務機關」並不是常識中的「民間機構」。

然而,關鍵基礎設施業者在美國是由國土安全部指定,而台灣中央目的事業主管機關或縣市政府,是否具備足夠專業來指定業者、以及進行稽核?

另一方面,我自己的《資通安全法》版本也提到「私有關鍵基礎設施提供者」,我參考美國聯邦資訊安全管理法,給予了更明確的定義、並著重被指定的業者與政府之間的合作夥伴關係。

這兩者皆負有「維護關鍵基礎設施安全」的權利義務;而台灣在這一點上,政府該負的責任並未敘明。

要解決這個問題,我認為最好的方式,是應該設置兩種配套:

  1. 如我與時代力量黨團的版本中,具體提到的資安產業發展作為,鼓勵台灣民間長出產業、長出能量。

  2. 只有我的版本中所要求的,在重大資安事件發生後七日內,要求私有關鍵基礎設施廠商向主管機關報告。如此一來,不僅符合社會利益、也符合資安資訊共享的精神。

讓我們一起為《資通安全法》審查集氣!

2017 年 11 月 6日,《資通安全法》草案就要進入立法院司法法制委員會審查了。

雖然依照當天的議會程序來看,進入實質審查與討論的可能性不高,但既然作為審查的開始,又是這樣對國家重要的法案,希望大家能一起關注《資通安全法》的後續發展。