日前媒體報導,移民署入出境設備採購案得標廠商,涉嫌違反相關招標規定,使用中國大陸所生產的設備,致使國境面臨資安危機。據悉,內政部資訊中心將規格洩漏予廠商,而該廠商又找了外圍廠商一起綁標、圍標,此外,更透過國內知名東元集團子公司,東元捷德向中國大陸取得該批設備,讓此批有問題的設備暗渡陳倉地進入境管單位的政府機關。至今,移民署仍堅稱已完成相關資安檢查,並未發現有任何資料外洩情形。試問,其誰能信?
坦白說,以現今台灣政府運作型態而言,全面網路化早已是不可逆的潮流趨勢,無論是開放式或是封閉式網路,都應建構滴水不漏的資安機制,而架構網路環境的硬體設備,以及運算、資料傳輸與儲存及資料的加減密等,都應有嚴密的標準作業規範與監管,而不是只當作資訊展中的一般消費性電子產品。此番,在移民署入出境設備的採購案中,令人意外的是,主事者竟然漠視資安與國家安全於無物,似讓特定業者以不法利益作為交換條件,以取得近乎量身打造的機會。
套句謝長廷的經典名言,我們有合理的懷疑,這批設備顯然是主事者涉嫌護航不肖業者牟利的工具,而不是依據我資安條件所作的規劃設計,這和過去各種公共工程弊案如出一轍,完全就是政商勾結的產物。不僅如此,類似情形包括國內公股銀行的信用卡晶片採購,似也可看到招標單位護航特定業者的斧鑿跡象,若干公股銀行信用卡招標,均將特定廠牌信用卡規格、型號逐一清楚列舉,此舉無異形同實質綁標圖利特定廠商,完全排除其他同等規格廠商的合理競爭機會。
對此,招標單位的制式官方回答是,第一,因信用卡規格太過專業,承辦人員並不瞭解云云,殊不知,為了便宜行事就以投標廠商所提出的規格為依據,早已掉入廠商所設圈套;第二,當質疑顯有綁標、圍標且不利公平競爭嫌疑時,承辦人員的回答均是「蕭規曹隨」且無意修改,以免會「牽一髮而動全身」,就在這種因循苟且、得過且過的公務行政流程當中,被保護的業者可以永遠「惦惦吃三碗公」,而其他的合法業者就只能望標案而興嘆不已。
講白了,就連國人平常所使用的金融卡,主管單位金資公司也是涉嫌長期護航特定供應廠商,只允許某些業者提供晶片來源,針對其他有意願的業者,往往用莫須有的理由進行回絕。再者,以最近爭論不休的晶片身分證一案,更是暴露政府機關對於硬體來源「不求甚解」的官僚態度,完全令人無法苟同。只因政府業務單位專業不足,一切依賴國外晶片廠商的片面資料與遊說,而在中國大陸「黨國一體」結構下,這些所謂外商公司已多由對岸人士常駐,也因此,晶片身分證的規格與保護機制即可能會被有心人士所利用,若再加上長期以來國內特定財團把持政府相關智慧卡標案,並將毫無安全驗證機制的機器設備導入我國的入出境及戶政等系統,我們真的不敢想像,再過幾年的台灣資安環境會被破毀到什麼地步?更不用說個人隱私將會暴露在一個高度不可知的風險當中。
準此,我們要強烈呼籲,請政府單位務必強化資安危安管理,積極充實資安硬、軟體環境的專業知識;培養專業管理與採購人才,不假手民間業者主導;並提升資安管理至國安等級,強化風險意識與後續危機處理能力;最後,則是要籲請政府建構一公平競爭的商業環境,讓所有合法、合格且有能力的業者,都能在公平的基礎上相互競爭,而不是任由與決策者交好的財團遊走其間而謀取暴利,這樣,台灣未來的資安環境才能有健全且良性的發展可能。
*作者為前台北市中小企業輔導服務中心執行長、資安設備產品經理