數位發展部近期預告《資通安全管理法》修正草案,當中明定公部門禁用危害國家資安產品,但數發部長唐鳳日前指稱,為避免業者「洗產地」改名規避審查,數發部將不公開禁用名單。對此,唐鳳今(23)日赴立法院交通委員會備詢時說明,數發部是希望引導相關機關及廠商,使用已經資安署確認無虞的資通產品,而若需使用不在白名單上的產品,則應向數發部諮詢。
立法院交通委員會今日審查數發部113年度預算,邀請唐鳳及相關官員列席報告並備詢,唐鳳會前接受媒體聯訪時指出,無論資通產品註冊地為何處,只要中共能有實質控制權,就是危害國家資安的產品。而國民黨立委洪孟楷質詢時詢問,數發部要修正《資通安全法》禁止公部門使用危害國家資安產品,目前掌握多少產品需禁用?
唐鳳指出,數發部已盤點中共能夠實質控制的軟、硬體,若發現某些部會仍有應用,數發部是要求相關部會限期汰換,並透過斷網等方式,確保軟體不會有後門或即使有也不會受影響;資安署長謝翠娟補充,目前掌握有10幾個大項,在列管的還有1000多個產品,但都是限制性的使用。
謝翠娟說明,某些部會必須使用相關軟體,可能是要查詢的資料庫就剛好是對岸品牌,但資料庫又是業務需要必須查詢時,就會特別簽准,經過資安長同意才能使用,其他部分就都會直接斷網。她也強調,雖現在禁用名單未公布,但資安署都有掌握各部門的使用狀況。
不過,洪孟楷追問,政府現在常有工程發包,若有下游廠商採購時,因不知相關軟體已禁用,是否仍會持續使用危害國家資安的產品?如同先前台鐵車站就被對岸駭客入侵,當時台鐵也推說是發包下游廠商。唐鳳回應,她上任後簽署的首個公文,就是公眾場域就比照公務網域也要納管。
唐鳳表示,只要任何公部門要採購時,無論是出租廣告場域等,都必須要連帶寫進契約當中,而政府也有共同供應契約,列在契約上的就是資安署已確認過沒問題,且有2個以上機關都在使用,廠商只要在名單中挑選就不會有問題,若未列在名單上的,相關廠商或機關就需要向數發部詢問。
民進黨立委林俊憲則在質詢中質疑,政府採購每年會決標超過20萬件,難道每件資通產品都要諮詢數發部嗎?謝翠娟答覆,所有資通產品都是正面表列,因為沒有問題的產品較容易查,大部分機關也都是採用沒問題的產品,若有疑慮則可以向廠商要求出具切結書,再有爭議也可以詢問資安署。
然而,林俊憲質問,禁用資通產品名單為何不能公布?難道未來還需要求公務機關發包工程後,要再去追蹤得標廠商設備有無資安問題?「隨便講講的,哪有可能做得到」、「這個叫幹話啦,根本就胡說八道。」他也說,相信一般民間業者也不願使用有資安疑慮的產品,但廠商哪知道自己的設備有無問題?
對此,唐鳳說,據他了解,相關廠商都是參照數發部公布的白名單,數發部也是希望引導相關機關及廠商使用沒有資安疑慮的產品。針對林俊憲質疑數發部不會理會民間廠商諮詢,唐鳳則說,民間單位尤其上市櫃公司,仍能透過諮詢台灣電腦網路危機處理暨協調中心(TWCERT/CC)等單位,了解其使用產品是否為禁用產品。
至於目前有多少機關及單位已和資安署洽詢?謝翠娟受訪時回應,事實上99%以上的產品都是正面表列,其實機關並無很大困擾,而目前每天大約會有1件查詢,平均每個月是20幾件,但若有大波新產品問世時,就可能會出現較多詢問,但平穩時就是每月平均20件左右。
媒體追問,數發部要求限期改善的確切時間為何?謝翠娟則說,原則上是不希望機關在採購禁用產品,但有些剛買或必須要使用,如外館或部分機關要使用的學術論文資料庫、機器人等,剛好來自對岸,而要使用就需透過安全措施如斷網使用等,避免直接被讀取系統。
