臺灣公部門再傳資訊安全疑慮,READr 近日接獲民眾提供一份包含 130 家上市櫃公司的名單,指稱財政部負責的「電子發票整合服務平台」登入系統出現資安缺失:只要輸入名單上企業的統編,以及政府提供的預設密碼,即可瀏覽其會員資料。也就是說,只需使用同一組密碼,包括發票明細、營業收入等企業經營之重大商業資料將一覽無遺。
根據此份名單,1789 間上市上櫃公司中就有超過 7% 的企業仍沿用政府提供的預設密碼,其中 78 間為上市公司、52 間為上櫃公司。從產業別來看,光電業最多,其次是半導體業、電子零組件業,甚至連專門從事資訊安全的公司也榜上有名。
這名不願具名的資安從業人員透露,除了上市櫃公司之外,國營事業和受政府監督的行政法人也出現一樣的問題。像是中華郵政、臺灣鐵路管理局等組織,至今仍使用同一組密碼登入其電子發票系統;另有一間具國安背景的行政法人,直至上週才經提醒修改密碼,資安管理形同門戶洞開。
對此財政部回應,已通知各公司須強制更改電子發票平台密碼,但因現在是營業稅申報期,不希望影響企業申報作業,所以先提醒變更密碼,待申報期結束,預計推動新版認證作業,採取「雙認證模式」登入,也就是在既有的登入流程之外,再多加一道認證機制,強化資安強度。至於新進公司欲申請密碼,都會獲得一組隨機生成的字串,不再沿用舊制。
「一開始把預設密碼交給使用者,也有提醒他們調整(密碼),但 user 可能因為方便就沒去改。」財政部表示,大部分企業在申請電子發票時,是採取工商憑證,一開始便可以自行設定平台的帳號密碼,因此僅有少部分公司是使用國稅局給予的預設密碼。
不過,同為此波資安受災戶、一位不願具名的民營公司財務人員指出,他最初是使用國稅局提供的預設密碼,後來因無法登入系統詢問政府單位,並獲得一組新的帳號密碼;沒想到使用新的帳密至今逾 7 年,才發現舊版帳密仍能登入電子發票系統,「如果有心人士進到後台,就可以看到公司賣了哪些東西、賣給誰,總共賺多少錢,這影響很大。」
公部門接連出現資安危機,有立委統計,從 2016 年至今,陸續發生 8 起公務機關的重大個資外洩事件,例如中華郵政商城網站 2016 年遭中國駭客入侵,竊取超過 1.7 萬筆交易資料;2022 年立委揭露逾 2300 萬筆國民個人資料遭駭,並被放在國外論壇兜售,內容包括姓名、身分證、地址、生日、婚姻狀態、親屬關係等;今年年初甚至爆出健保署前主秘竊取民眾和情治單位的健保資料,時間長達 13 年。
作為臺灣數位事務的最高主管機關,數位發展部於去年 8 月掛牌上路,部長唐鳳受訪時曾強調,「 資安」是數位發展部施政時的重要目標,2023 年將推動「零信任架構」,任何階層的公務人員在簽核公文時,都必須重複做到帳號密碼驗證、設備驗證及安全網路連線的驗證,也就是所謂的「永不信任、持續驗證」的精神。
然而財政部電子發票整合服務平台的漏洞,正顯示公務機關的資安意識仍有待加強。立委洪申翰指出,數發部常常在談數位轉型,但資安政策沒做好,民眾就無法信任政府推動資料數位化,反而會成為數位轉型的阻礙。電子發票平台此次的爭議,其實只是最初階的密碼設置問題,談不上是複雜系統的深度防禦,「連最基本的資安 SOP 都做不好,怎麼能期待解決更進階的問題?」
而數發部轄下的資通安全署,當時設置的目的就是為了打造更高層級的國家資安聯防體系,就洪申翰的觀察,數發部似乎把自身定位為「技術支援的專業人員」,過於被動地參與解決資安問題,「並沒有要一肩扛起整個政府資安治理的企圖心,這是他們最大的困境。」他表示,數發部必須擔起政府資安的統籌角色,主動找出各部會的資安漏洞,才能提出強化國家資安的戰略計畫。