政府軟體沒簽章,存在資安和責任歸屬的疑慮


#1

https://efile.tax.nat.gov.tw/irxw/index.jsp
網頁版報稅平台上線,但Mac使用者無論安裝健保卡或自然人憑證的軟體,竟然都跳出:無法打開「xxxx.pkg」,因為它來自未識別的開發者。
軟體開發基本的環節之一都沒做好,不僅造成民眾使用上的困擾,還可能因為軟體被竄改導致中毒的情況發生,請問這件事情各單位能不能改善?蔡總統強調資安很重要,但怎麼還是有很多地方都做不夠?光是看得到的地方就做不好了,我很擔心政府內部系統是千瘡百孔的…


#2

感謝貢獻,這確實是一個疑慮。健保署至少有使用 HTTPS 和 MD5 檢核碼,但內政部目前確實沒有

我會請同仁(Cc @chun)留意,在後續健保卡和自然人憑證的規劃中,納入各平台簽章的需求。


#3

:ok_hand:


#4

關於資安部分我這也有問題要跟唐委員以及團隊反映。

最近在處理一些案件,意外得知當初個資法發布原因在於銀行業,
得知目前最於資訊安全有一定要求只有銀行業…

想請問如果只要求一個行業的規定應該由政府採用行政命令去規範該行業即可,
既然擴及法律則需三讀通過那問題來了,個資法現在擴及行政、教育、醫療、通信等等,
像現在許多都還要再簽個同意使用紙本或者在網路不可標示個人資料或者姓名部分。

政府對紙本要求! 數位資訊卻只有銀行業要求資訊安全,少部分像健保還有採用比較基礎的安全系統。

請問,如果學校網頁資訊不安全怎辦? 學校有身分證等以及成績,之前有發生學生駭入學校系統串改成績。
小的在舊讀時候還聽到主任電腦半夜自動開機被駭,學校計算機中心半夜打電話通知主任…
這樣個資外洩部分,主任有責! 學校有責 !其實政府沒要求也有責。

現在普遍各地方政府網頁安全以及行政單位都沒基礎門檻,是否應設立抽查機制與負責抽查單位,
資訊進步飛快,隨時都需要更新、修改、調整。
如果輕易能進,不定期抽查與改進要求,也作為各單位考核等標的。

另外非政府方面像是電信、網路賣場、網路遊戲、以及各大社群網站。
應設立基礎資安與抽查制度,尤其完全依賴網路的產業,因涉及虛擬利益,更頻傳帳號被盜…
目前最大宗數位資安因該是網路遊戲常發生更新後集體被盜、網路賣場則許多詐騙簡訊、電信則是一堆廣告等主要資訊產業,但賣場與電信也可能由紙本等方式外洩,員工販賣個資等之前發生過的問題,網路遊戲則是系統後台與更新後台,廠商未設資訊安全導致連遊戲內安全設定都無效導致盜帳號不用三分鐘,盜帳號者也不會密碼輸入錯誤。

許多時候考慮很多是沒錯,但是設門檻點也是相當重要的,發布的層級高,亦需要更多配套與要求各單位。

hello您擔心的沒錯,但實際情況確實是千瘡百孔,尤其完全依賴數位產業更慘,帳號涉及利益與虛擬商品價值天天有人被盜。個人申辦兩支門號,一支用於通信與重要帳號與接聽,一支專門用於遊戲廣告一堆與一堆垃圾短訊。廠商不設資安將責任推給消費者,連利益不高的國家兩廳院會員個資都能外洩,我收過國家兩廳詐騙電話,賣場詐騙、冒充詐騙、業者訊息、之前回信要求停止發送還會變本加厲發送,你回代表這信箱有活動他賣賣得更賣力。


#5

感謝回應,完全同意您的建議。《資通安全管理法》上周三讀通過,正是要處理這個問題。