美國眾議院裴洛西議長於111年8月2日訪臺,隨後部分機關傳出網站癱瘓,部分公共場域電子看板內容亦遭竄改,引起社會大眾矚目,監察委員賴鼎銘、葉宜津、林郁容經過立案調查,監察院交通及採購委員會並於13日通過調查報告,指出在公私協力、橫向協調、改善公私部門資安從業人員困境及軟體供應鏈安全等面向確有不足。
三位調查委員首先指出,資安法規範對象為公務機關及特定非公務機關;然而對於私部門之資安風險事前控制措施建立尚無有效政策推動工具,允宜加強。
監察委員表示,裴洛西議長訪問期間網路攻擊型態主要為DDoS(分散式阻斷服務攻擊)及內容置換,在因應DDoS方面,經查國家資通安全會報雖指示各機關備妥流量清洗或靜態網頁等措施,惟對於動態服務網頁及資安預算有限之單位,數位部允宜提出更細緻之指引供其參考或爭取建置預算;至於內容置換部分,經濟部及內政部雖陸續修訂「營業場域電子看板資通安全管理指引」及「招牌廣告及樹立廣告管理辦法」,然而內容僅屬行政指導,難以長期落實管理;調查也發現,對於肇生資安事件之承包商資訊橫向聯繫通報也有改進空間,有待數位部或國家資通安全會報進一步妥處。
三位委員歸納近期發生的指標性案件指出,發現無論是公部門或私部門,經常欠缺主動發現風險、適當控管及即時通報之誘因,而且面對資安事件多採迴避態度;對此,相關單位宜從鼓勵通報及實質改善從業人員困境方式予以強化,對於如爭取資安職系等等,自108年迄今未獲重大進展,數位部亦應積極辦理。
而在軟體供應鏈安全方面,調查委員強調,SBOM(Software Bill of Materials)不僅涉及國家資通安全,也與資通訊產業的國際競爭力息息相關,目前各國都日益重視供應鏈安全,數位部對此宜有重點規劃,監察院也會持續追蹤。
