通傳會(NCC)今(25)日討論106年度通訊傳播資安監測規劃報告,配合今年度行政院推動《資通安全管理法》,NCC今年將正式推動通訊傳播業者資通安全設施,與手機資安認證二項業務,其中,手機資安認證部分,預計在下月公布資安技術規範,在徵詢手機製造商意見後,預計3月底公告實施,未來手機出廠內建APP資安認證,將委託中華民國資訊安全協會檢測,並且發給初、中、高三個等級的安全標章,出廠後民眾下載APP部分,則由經濟部負責進行資安認證,未來公部門採購公務手機,將強制進行資安認證。
民進黨政府上台後,將資訊安全提升到國安層級,除了研議《資通安全管理法》,對通訊傳播、醫院、電力等八大關鍵基礎設施訂定資安規範外,涉及資安與個資保護部會,也分別訂定資安規範,其中電信網路部分,NCC日前已修訂固網管理規則與行動通訊管理規則,對於機房等核心網路機件故障,訂定相關標準通報機制,同時因應網軍等駭客攻擊,訂定資通安全防護聯防機制。
NCC基礎設施事務處簡任技正吳銘仁表示,今年度NCC通訊傳播資安監理規劃,主要分通訊傳播業者資安設施與手機資安推動二項業務,目前通訊安全的設施防護部分,業者係透過網頁通報方式向NCC通報,不過行政院資通安全發展方案,希望能建立起全自動通報系統,讓電信業者在駭客攻擊特定路由時,可以偵測到異常網頁流量。
舉例來說,先前教育部網站曾經被駭客攻擊,在攻擊當下用戶,端部分可以感受到外,未來電信服務商與用戶端可以透過聯防機制建立,提高資安防護。
小米曾傳個資到大陸 內建軟體NCC將負責
另外,在手機資安推動上,過去中國手機製造商小米,在台販售手機,曾遭質疑將用戶個資,回傳到對岸的機房,依據103年6月行政院資安會報共識,手機製造商出廠時內建軟體部分,其資安認證由NCC負責,出廠後民眾自行下載APP部分,則是由經濟部負責資安檢測。
吳銘仁表示,手機出廠在台販售前,必須先取的NCC射頻器材認證,目前NCC就手機資安部分,僅就手機製造商提供的射頻器材與通訊功能的檢測報告進行審查,審查通過後核發形式認證,為強化手機出廠時內建APP資安認證,NCC將在下月對外公告智慧型手機內建軟體安全規範草案,在完成外界意見徵詢後,相關規範預計3月底正式上路,預計6月底前將有獲認證手機在市面上販售。
吳銘仁表示,未來手機內建軟體資安認證,將洽請中華民國資訊安全協會負責,未來資安認證將分為初、中、高三個等級,分別必須通過21項、34項與54項測試。
初期不會強制 公務手機才會要求
NCC副主委翁柏宗表示,有鑒於世界各國沒有一個國家,對於手機進行強制資安認證,未來台灣手機內建軟體出廠資安認證,初期不會以強制方式推動,NCC將透過宣導,鼓勵民眾選購資安風險較低的手機,但公共工程委員會將就公務手機採購,強制要求資安認證。
翁柏宗表示,手機出廠後民眾自行下載APP,經濟部方面雖然會進行資安檢測,但對於境外軟體開發商開發APP,政府並無強制要求資安檢測的能力,政府只能要求軟體開發商在APP啟動時,必須有防護機制,主動顯示用戶個資(例如GPS定位位址)無線傳輸功能已經開啟,讓民眾選擇是否要啟動相關功能,無法強制軟體開發商,不得將APP所收集到用戶個資,回傳到特定國家,未來經濟部也會主動向民眾宣導手機資安防護。