{"id":146414,"url":"https://ivod.ly.gov.tw/Play/Clip/1M/146414","video_url":"https://ivod-lyvod.cdn.hinet.net/vod_1/_definst_/mp4:1MClips/fb8541ce0ddce24292b4dff10de1022e7c65646afd52459e32aad28f1311603951013c85a2468dcd5ea18f28b6918d91.mp4/playlist.m3u8","委員名稱":"鍾佳濱","委員發言時間":"11:10:44 - 11:17:24","影片長度":"00:06:40","會議時間":"2023-05-22T09:00:00+08:00","會議名稱":"立法院第10屆第7會期交通委員會第11次全體委員會議（事由：一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失，如何就全國政府部門各系統進行資安系統盤點及改善」進行專題報告，並備質詢。二、審查委員賴品妤等36人擬具「資通安全管理法部分條文修正草案」案。三、繼續審查委員陳以信等16人擬具「資通安全管理法第二條條文修正草案」案。四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及第七條條文修正草案」案。\n五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文修正草案」案。(以上5案合併詢答，第二至五案進行詢答及逐條審查)（5月22日、24日及25日三天一次會））","meet":{"tmpMeeting":null,"term":10,"type":"委員會","sessionPeriod":7,"sessionTimes":11,"committees":[23],"id":"委員會-10-7-23-11","title":"第10屆第7會期交通委員會第11次全體委員會議"},"date":"2023-05-22","duration":400,"end_time":"2023-05-22T11:17:24+08:00","start_time":"2023-05-22T11:10:44+08:00","features":["gazette"],"type":"Clip","gazette":{"lineno":609,"blocks":[["鍾委員佳濱：（11時10分）主席、在場的委員先進、列席的政府機關首長官員、在場的工作夥伴、媒體記者女士先生。部長好、主任好。我認為便民服務驗證安全要提升，而且政府簡訊要提供信賴機制。今天大家在問，財政部電子發票平臺有登入的漏洞，時序上大概5月9日白帽駭客示警，接下來台灣電腦網路危機處理暨協調中心就把這個漏洞告知財政部，財政部又回答說已告知並要求使用者更改密碼，然後財政部強制使用密碼登入的營利事業變更密碼。是不是這樣？就部長所知沒有錯嘛？"],["主席：請數位部唐部長說明。"],["唐部長鳳：委員好。沒錯。"],["鍾委員佳濱：張主任，是不是這樣子？"],["主席：請財政部財資中心張主任說明。"],["張主任文熙：是。"],["鍾委員佳濱：剛好、很巧，5月11日那天我也問了一個問題，部長還記得嗎？那時候我跟你請教，我覺得目前網路上的安全大概類似我們去旅館一樣，有個實體的鑰匙、有個對號的鑰匙，現在實體證件編號大量外洩，造成民眾社會性的編號、對號鎖的號碼外流，所以我要求要趕快去檢證各種登入的驗證機制，在政府服務上要換鎖，避免個資流失，部長還記得嗎？"],["唐部長鳳：有，就是鑰匙遺失的話，應該要換鎖。"],["鍾委員佳濱：或者對號鎖的號碼被別人知道了怎麼辦，是不是這樣？"],["唐部長鳳：是，要換鎖，當然掉在地上撿起來就好，這是委員上次教我的。"],["鍾委員佳濱：是，你還記得。所以現在我們來看看財政部怎麼換鎖，在示警前，你們的帳號跟用戶的統一編號一樣，承包商的預設密碼就是固定8位通用密碼，且密碼變更時，他沒有強制一定要換，主任，是不是這樣子？"],["張主任文熙：是。"],["鍾委員佳濱：示警之後，你們現在帳號怎麼弄？你們現在預設密碼改成12位英數字隨機密碼，並且首次登入強制要求輸入第二因子來變更密碼。請問財政部，這個漏洞存在多久了？"],["張主任文熙：報告委員，從這個系統100年開始上線、啟用……"],["鍾委員佳濱：所以從開始啟用一直到現在，這是承包商的問題嘛？這樣的設計是承包商問題嘛？它就是那樣設計啊！部長，你覺得這個承包商是不是太沒有資安意識了？"],["唐部長鳳：在當時不管工商憑證或者後來的自然人憑證，從委員的簡報畫面上可以看到，其實它並不是沒有更強的登入方式，只是它並沒有強制用這個方法。"],["鍾委員佳濱：強調一下，可能很多在場人員不瞭解工商憑證，工商憑證就是類似自然人憑證，它不是一個對號鎖的號碼，而是一個你手中的房卡，掉了需要撿起來。所以我們看一下，那時候我問過，要求財政部換鑰匙的兩個問題，如果仍然是帳號式密碼的對號鎖，仍然可能被暴力破解，對不對？所以要怎麼樣來加強？可以用認證強度比較強的工商憑證。部長，如果這樣，你會不會覺得應該把工商憑證這種實體的方式拿進來？"],["唐部長鳳：確實是，對於小規模的營業人，他可能沒有工商憑證的，至少也應該要用類似像TWID，就是用它個人申請的SIM卡來認證。"],["鍾委員佳濱：很好！張主任，聽到沒有，專家在這裡。"],["張主任文熙：是。"],["鍾委員佳濱：有聽到嘛！電子發票系統最早是由X通公司在2006年建置完成的，你說過後來有多次改版，但是你剛剛講從它一開始使用之後，就是它的設計問題，一開始就是它的設計造成問題，不是後面改版的承商把它改了嘛？"],["張主任文熙：報告委員，其實一開始是先使用工商憑證設計，後來是因為使用人次太低，就有聽到有人要求要增加方便的方式，所以才會……"],["鍾委員佳濱：瞭解，所以本來是有設計用工商憑證的，只是後來為了方便大家使用，把它的便利度提高了，但是安全度就下降了。","部長，另外一個問題，數發部自己不用gov的短網址，你們現在有一個東西，你們的MyData平臺要做問卷調查，這個是用gov的短網址嗎？"],["唐部長鳳：這個我們已經有請承辦單位要改善……"],["鍾委員佳濱：它叫做什麼？是簡報上的這個公司，對不對？"],["唐部長鳳：對。"],["鍾委員佳濱：它可以用短網址嗎？"],["唐部長鳳：應該這樣講，我們目前gov.tw結尾的只能去縮我們政府的網址，但是其實在數位部裡面有另外一個機制，可以給外面像google表單等等一個編號是我們數位部的網址，所以還是可以用短網址。"],["鍾委員佳濱：它還是可以用？"],["唐部長鳳：對，只是它可能不知道這件事。"],["鍾委員佳濱：它不知道，那數發部要告訴全部的政府機關，因為民眾，像我只會認gov.tw，是不是這樣？"],["唐部長鳳：對，這非常好。"],["鍾委員佳濱：如果看到不是gov.tw結尾的，我就覺得這個有問題。所以現在就是啦！沒有用gov短網址的政府訊息怎麼信任？"],["唐部長鳳：我們之後會有一個共用的發簡訊的號碼，你也可以認那個發簡訊的號碼。"],["鍾委員佳濱：所以你要跟大家強力的宣告一下，所有政府部門及政府的外包廠商，如果你現在不是使用政府的網站服務的話，你不能使用gov短網址，要用你們的服務嘛？"],["唐部長鳳：對。"],["鍾委員佳濱：那就會出現gov短網址，這樣民眾才會知道這是政府的嘛！"],["唐部長鳳：對，我們的縮網址叫s.moda.gov.tw，它還是會以gov.tw結尾。"],["鍾委員佳濱：好，這個要告訴所有的政府部門跟政府的承包商。","最後，我的訴求是，第一個、請財政部檢討你們所有網路的便民服務系統之驗證方式安全性，譬如說過去的工商憑證可能比較安全，你們要思考，並於二個月提出檢討報告，可以嗎？"],["張主任文熙：可以。"],["鍾委員佳濱：其次，像這樣的承商所承攬的其他系統有沒有類似的漏洞？請數發部針對出問題的承商，一個月內來清點改善並提出報告，可以嗎？"],["唐部長鳳：是。"],["鍾委員佳濱：請數發部就目前政府各部門各種網路便民的驗證方式，幫他們盤一下、看一下，並提供一些建議，二個月內提出盤點報告，讓我們知道哪些部會始終不聽你們的勸，可以嗎？"],["唐部長鳳：這些我們都可以來做，我們把簡報上的第二點、第三點併成一個，然後二個月內提出報告。"],["鍾委員佳濱：二個月可以。最後如同你講的，政府部門有非政府網站服務的問卷調查等等，有沒有辦法套用gov.tw的情形，你已經有提出解方了，對不對？請把這個解方、這個信賴方案提供給民眾來辨識，好嗎？我不是在做宣傳。"],["唐部長鳳：好，這個我們也會併同之後我們共用簡訊的平臺一起來宣導。"],["鍾委員佳濱：我們不只是信賴唐鳳，也信賴政府，也信賴臺灣，謝謝。"],["唐部長鳳：謝謝。"],["主席：你的信賴方案就是好好做事情的意思嘛！","請江委員啟臣發言。"]],"agenda":{"page_end":264,"meet_id":"委員會-10-7-23-11","speakers":["陳雪生","邱臣遠","林楚茵","陳椒華","林俊憲","陳素月","蔡培慧","李昆澤","邱顯智","何欣純","許智傑","游毓蘭","鍾佳濱","江啟臣","洪申翰","李貴敏","王鴻薇","劉櫂豪","魯明哲","鄭天財Sra Kacaw","高嘉瑜","王婉諭","張其祿","趙正宇","洪孟楷","陳歐珀","吳欣盈","傅崐萁"],"page_start":189,"meetingDate":["2023-05-22"],"gazette_id":"1125902","agenda_lcidc_ids":["1125902_00005"],"meet_name":"立法院第10屆第7會期交通委員會第11次全體委員會議紀錄","content":"一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失，如何就全\n國政府部門各系統進行資安系統盤點及改善」進行專題報告，並備質詢；二、審查委員賴品妤等\n36人擬具「資通安全管理法部分條文修正草案」案；三、繼續審查委員陳以信等16人擬具「資通\n安全管理法第二條條文修正草案」案；四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及\n第七條條文修正草案」案；五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文\n修正草案」案","agenda_id":"1125902_00004"}},"transcript":null}