去年剛成立的數發部,在這一連串資安風暴中,原被期待扮演「救火」角色,如今卻淪為「專業諮詢幕僚」,究竟問題出在哪?
「數發部這半年多做了什麼?」自去年十月起,我國戶政資料外洩,華航、微風百貨等企業客戶個資遭竊,再到故宮十萬筆典藏圖檔被駭客賤賣,每當公、私部門爆出資料外洩事件,民眾對於數位發展部主掌資安防護,卻未積極作為的質疑聲浪,總會傾巢而出。
去年八月,數發部掛牌成立現場,總統蔡英文才高喊「資安即國安」,強調政府要打造更高層級的國家資安聯防體系,並由數發部下設的資通安全署(以下簡稱資安署),扛起「統合管理」、「執行資安防護」和「培訓資安人力」三大重任。
但後續無論在官方或民間涉及資安事件中,外界卻只見數發部「協同調查」、「提供專業技術支援」,未能主動介入或裁處。問題正是卡在資安署組織層級低,難以跨部會統籌協調,且《資通安全法》授權處理的範圍,也相當有限。
「數發部現在比較像『提供資安專業建議的幕僚』,而不是『政府資安政策的主導者』。」民眾黨立委吳欣盈觀察,目前在政府機關裡,資安主導權仍落在各個部會手中,只有當各部會遇到狀況求援,數發部才會被動介入,「若各部會在資通安全上缺乏改進意願,數發部是一點辦法都沒有。」
轄下資安署層級低 管不動
面對公務機關涉及資安問題,目前只能透過行政院層級的資安會報,跨部會協調處理。但吳欣盈發現,自二○一九到二三年間,資安會報僅僅開過七次會議,「從這樣的運作狀況來看,政府在資安上投入的能量是遠遠不夠的。」
時代力量立委邱顯智也點出,資安署是三級行政機關,層級過低,像前陣子內政部戶政資料外洩,等於要「署」去管「部」,「他們完全束手無策!」他認為,未來要強化數發部資安主管角色,除了將資安署升為二級行政單位,將資安會報轉型成更具約束力的單位,也是可考慮的方向。
