跳到主要內容
:::
:::

數位專欄

建構數位消費產品履歷與安全標章
發佈日期 發佈日期 :2023-05-25 | 點閱率 點閱數:1381 | 資料更新 資料更新:2023-05-25
李德財

李德財

李德財院士為中研院資訊所及資創中心客座講座,同時擔任中華民國資訊軟體協會顧問及資安長聯誼會總召集人

最近資安事件頻傳,從去年2300萬台灣人民的戶役政資料遭竊公然於駭客暗網兜售,至今年年初健保署民眾個資遭盜賣至中國、航空及租車公司之客戶個資外洩等,反映了政府機關及企業之資安管理與防護措施不足。

 

為提升資安防護量能,行政院於去年成立數位發展部,整合資訊、通訊、資安、網路與傳播5大業務,統籌國家數位治理、數位基礎建設,數位產業發展,以及數位轉型,設置資安署、數位產業發展署;今年年初更設置了行政法人國家資通安全研究院,值得肯定。

 

然而,這上位的政府組改、政策推動等資安作為,與一般民眾遭受網路詐騙,企業遭受勒索病毒駭侵,導致財產損失,並無直接關聯性,隔靴搔癢!社會大眾對資安事件的關注度,相較於「毒莓」食安事件受到媒體大幅報導有天壤之別。食安告警,人心惶惶,食藥署亦因而加強抽檢,為食安把關,以安定民心。

 

究其因,乃食品安全事涉民眾健康,民眾有「直接」的危害感受,而當資料庫遭駭,個資外洩,民眾(包括媒體)卻未給予關注或報導,究其因,乃傷害與損失是無形的,無生命危險,致使民眾無感,社會無覺!個資遭外洩受害的民眾也未收到法令所規範的「通知書」,身陷風險而不自知。

 

報載民間業者(租車公司)因而受罰,但公部門「洩漏」大量個資,卻無事!讓處理不公的民怨再起,資料外洩除了數位資產損失外,肇因未釐清,漏洞未阻絕,再度受駭的風險只有更高。

 

「防駭如防疫」必須是全民運動,病毒入侵與擴散,都是從防禦最脆弱的破口或媒介傳播,事前的防護措施,事發的應變處置包括事件通報、斷點隔離、肇因溯源、病毒掃除、漏洞修護等,事後的分析檢討,經驗與資訊分享,降低甚至避免再度受駭風險等,是因應資安事件的標準作業程序。

 

早有「病從口入」的說法,除了作端點的防護,認清病毒,提升自我免疫力,阻絕病毒於境外,防止其進入核心器官組織,才是上策。在網路世界裡,人人靠著手機,隨時隨地便利上網,穿梭於實體與虛擬世界,資料傳輸彈指之間。

 

而我們對於手機上使用的通訊軟體APP,電腦一插即用的USB裝置究竟認識多少?我們被告知,來路不明的裝置或APP避免下載使用,要安裝防火牆掃毒軟體並隨時更新,這些是民眾應有的基本端點防護概念,但是有保障人民生命財產權益的政府之責任為何?

 

民意代表監督政府,制訂食安法,不就是要求主管單位,要對民眾消費入肚的食品安全把關?隨時進行抽驗,對違禁食品下架並裁罰。但是對於網路世界裡的民生消費電子產品,為何無視其安全?農產品有規範標示產銷履歷,食品也都有成分標示,若登載不實,冒用商標等欺詐行為都有法定罰則。

 

建議比照食安法,儘速建構數位產品的透明資安履歷制度,對電子消費產品(硬體如USB,軟體APP等)應標示製造廠地等生產履歷,成立資安檢測機構,建立安全標章制度,上架產品必須通過安全檢驗,並成立專責單位,賦予資安官抽驗產品有無違禁「添加物」、對違禁產品裁罰職責,公布違規及裁罰清單,同時亦建立獨立驗證與確認(IV&V)機制,檢視資安檢測機構的適格性。

 

對資料保護,應建立個資專責獨立監理機關,對違反個資法,未盡善管職責導致資料外洩的公部門、民間企業一律裁罰,賠償等,並建立隱私與資安防護基金,豎立維護民眾個資威信,端點偵測防護措施更是全面資安防護體系的基本標配。

 

建立「防駭新生活」觀念與體系,建立資安產品履歷與安全標章制度,讓網路世界的消費安全更臻完善,保障人民免於恐懼與數位資產損失的生活權利。

 

(本篇文章轉載於財訊專欄)

返回 最上方