1.新聞網址︰
https://rwnews.tw/article.php?news=6360
2.新聞來源︰《菱傳媒》(記者王烱華/台北報導)
3.完整新聞標題獨家/資安危機!中科院一級主管休假帳密給秘書 涉密資料恐被看光光
4.完整新聞內容︰
毫無資安意識!負責國軍高科技武器研發的國家中山科學研究院,某一級主管因病休假10天
,除了沒有向中科院資安長(中科院副院長林高洲兼任)完成報備程序,竟還將公務帳號、
密碼直接給秘書使用,遭院內員工檢舉後,中科院卻以黃處理公務將帳密交給秘書使用,未
涉及不法結案,遭批是調查、懲處「遇見高階長官就轉彎」。
中科院依國防部政策指導及各軍種建軍備戰需求,研發國軍制空、制海、國土防衛、資電網
路、聯合指管情監偵及不對稱戰力等各式武器裝備,在日益升高的台海危機,研發武器、培
育人才,對我國防安全扮演重要的角色。
不過,掌握我重要武器研發機密的中科院,卻屢爆資安危機,2018年時,中科院一名彭姓技
術人員藉由職務之便,將中科院所研發的無人機、雄三超音速反艦飛彈等機密檔案下載到自
己的資料夾,該員在被中科院停權調查期間,又利用同事電腦把資料夾刪除,遭檢方一審判
刑8個月。中科院在2018年「網路儲存伺服器」的採購標案中,誤將中國「百度雲」放入備
份公有雲的目的端,引發中科院機密資料的資安危機,相關人員遭記申誡處分。
面對外界疑慮,中科院雖然一再強調加強管制資訊安全,但中科院系統維護中心一級主管黃
明耀主任今年9月20日至30日向院方請病假開刀療養,但請假期間,黃明耀的系統帳號卻被
登錄使用,經院內員工發現向院方檢舉,中科院卻以黃處理公務為由,將其帳號密碼交由祕
書登錄使用,並以未涉及不法結案。
資安規定、職務代理規定如同虛設
根據國防部及中科院所訂頒的資通安全規定,資通安全「系統合法使用權限人員應善盡保管
個人帳號及密碼,切勿交付他人使用」。另外,為避免人員休假造成重要任務延誤,中科院
也訂有「國家中山科學研究院人員職務代理作業規定」,其中第三點規範:「本院各項職務
應依下列作法,按職責、性質與工作內容,排定現職人員代理順序:一級主管:依職務代理
原則,由現職一級副主管中排定三級代理順序;一級副主管現職人數不足三人時,自二級主
管檢討遞補」。
依規定,系統維護中心主任職務代理順序,第一順位為副主任高振宇,第二順位是副主任吳
建興,第三順位是副主任林海芬。而且依作業規定應於休假前交接好相關事務,並於休假期
間由副主任代理業務執行,而非交由本身無接密等級之主任秘書進行業務代理。
因此,爆料人士質疑,黃明耀是中科院所列管的涉密人員,其私自將其帳號、密碼交由其祕
書處理公務,即有違反國軍及中科院保密規定,但中科院卻是官官相護,案件調查也是「碰
到高階長官就轉彎」,就是想要掩蓋事實。
一級主管帳密登入 機密全都露資安漏破口
事實上,中科院系統維護中心承接國軍及政府多項專案任務,相關資訊資料包含「密」級的
「一般公務機密」或「營業秘密」。況且,黃明耀身為中科院一級主管身分,亦可能接觸包
含「機密」等級以上資料,其帳號權限範圍相當廣闊,雖然中科院各項管理資訊系統確實均
須透過實體憑證卡、指靜脈與密碼進行登入,但電子郵件信箱及存放專案資料之網路磁碟空
間均不受實體憑證卡管控,只需以帳號密碼登入即可查閱專案資料及各項檔案。
爆料者質疑,黃明耀其將帳號、密碼交由無涉密等級的祕書使用,即可能造成中科院資安破
口,甚至可能有機敏資料外洩的疑慮。
中科院在回覆《菱傳媒》詢問時指出,黃明耀主任囿於眼疾開刀休養期間,為避免延誤單位
重要工作推行,授權單位同仁登入行政電腦查閱電子郵件及行程,以利及時下達指示及任務
協調,並於銷假返院後即變更登入密碼,經查屬實。
中科院進一步指出,經相關權管單位審認,黃明耀僅授權單位同仁登入帳號查閱郵件及行程
,其餘院內各項管理資訊系統均須透過實體憑證卡與密碼,認證登入後方可執行業務簽辦;
尚無違反「資通安全獎懲作業規定」之虞。
至於黃明耀將行政電腦的帳號、密碼交付祕書使用,是否有向中科院的「資安長」完成報備
,中科院則坦承,系統維護中心的資安長確實知道黃員請假,但黃員身為單位一級主管,其
將帳號、密碼交由祕書使用並沒有向院級的資安長完成報備程序,未來中科院也會強化一級
主官(管)的資安報備及審核程序。
5.附註、心得、想法︰
近年我國爆出多起資安危機,如「戶政資料外洩」、「外交電報外洩」等
在戶政資料外洩案中,內政部代理部長花敬群表示,這部分已進入檢調程序,不太清楚現在
檢調的進度。
至於外交電報外洩案,立院外委以凍結3百萬元外交預算方式,要求提出調查報告