周柏雅的「市政質詢」: 柯市長上任後花2億元做資安,還能洩漏好幾萬筆個資! APPs和網站的資安通盤檢討緩步如牛! TPE-Free等公共網路安全問題,市府推說廠商處理就好,怎麼不讓廠商來當局長?

周柏雅議員辦公室2017年11月5日新聞稿

柯市長上任後花2億元做資安,
還能洩漏好幾萬筆個資! 
APPs和網站的資安通盤檢討緩步如牛!
TPE-Free等公共網路安全問題,市府推說廠商處理就好, 
怎麼不讓廠商來當局長?

柯市長上任後編列>2億元的資安預算,第四軍種如卵擊石!

周柏雅議員調閱資料發現,柯市長2015年上任之後共編列2億1千萬元的資安預算,其中由資訊局負責全府共通性資安防護,含骨幹網路防護阻擋、弱點掃描、防毒防護等等,也共花費近7千萬元!花了這些資訊安全防護預算,居然還讓北市資安如雞蛋般不堪一擊!蔡總統都說了:「資安就是國安」,柯市府團隊還能這樣螺絲掉滿地,資安防護力0嗎? (附件1、2)

日前發生TPE-Free、網路資安防護漏洞等公共網路、機器或軟體系統的安全性問題,市府不能說沒涵蓋都就不管了,比如:Windows 安全性也不是每個人都會中標,但是系統或機器的提供商還是會即時更新軟體修補漏洞,所以還是需要處理。

柯市長上任以來已有17案資安事件,許多都是幼稚園級基本款重大疏失

檢視柯市長上任至今,已發生有17案資安事件,平均每年發生5-6案。舉其中3例:(1) 2017年1月爆發薪資發放管理系統,外界免登入就可下載報表內容,洩漏幾萬筆「姓名、身分證、銀行帳號」,還被行政院點名為3級資安事件(最嚴重四級)。(2) 2017年8月志工管理整合平臺,又洩漏1萬8千名志工個資!(3) 2016年6月2日臺北市立聯合醫院的網路掛號系統也有「SQL Injection漏洞」,這個漏洞也有可能造成機敏資料外流的風險。(附件3)

監察院早就在講,過了3年鬆散依舊

2014年監察院決算審核報告就已提醒市府資安鬆散了,結果還是出包!(附件4)這些嚴重的個資洩漏案件,有些都還是資訊局本局自己委外發包的,連資訊局自己都找不到網站漏洞,還要外界幫忙「除蟲(DeBug)」,令人不禁懷疑資訊局的專業性!請問柯市長,市民在使用市府網站的時候還能放心的填寫個資嗎?還能信任自己的個資能被政府堅固的防護牆保護嗎?

免費無線網路是否危險? 北市府:交給廠商! 只做發包中心的資訊局為什麼不裁撤直接倂入工務局發包中心? 

日前媒體揭露「Wi-Fi所使用的WPA2加密機制有漏洞,駭客在存取Wi-Fi網路服務下,可攔載加密資料」,而臺北市目前有臺北捷運、Taipei Free、臺北無線網路聯盟等無線網路服務,其實只要是公共的無線網路都是開放的,確實和 WPA2 的安全性問題較無關,不過畢竟這個是無線網路基地台的基本功能,有安全疑慮當然還是要儘速更新,不過北市府資訊局看來只想要請廠商「密切注意」?這不對吧!資訊局應該要自己「密切注意」,盯住得標廠商把安全性更新做到好才對,怎麼會叫廠商自己去注意,如果什麼事都是叫廠商處理,乾脆讓安源公司接資訊局長算了。

安源通訊雖然表示:「旗下公共無線上網服務因採用Open System,以HTTPS點對點加密予以>保護,並非使用WPA2的加密方式,因此沒有受到KRACKs攻擊的影響」但是其實除了認證時是 HTTPS 外,使用者認證後使用網路時,有沒有加密也不是安源可以控制,講得好像安全防護沒問題似的!

另外廣泛用於 HTTPS 之函式庫及加密方式過去也一直有資安漏洞需要更新,安源公司說這次不受影響,資訊局有沒有驗證過安源使用之加密是否符合目前業界安規要求,還是僅任由廠商「密切注意」?(附件5)

檢測370個網站,就發現277個嚴重風險! 人民財產最大宗個資保管機關之一:地政局最多bugs! 這是故意讓建築/中介業得以全盤掌握的嗎? 

北市府目前共有480個網站,最近一次網站例行檢測時間為7月,共檢測370個網站,就發現277個嚴重風險。

其中充滿個資的地政局的臺北市不動產數位資料庫系統就有159個風險、市立聯合醫院網路掛號服務有14個風險、研究發展考核委員會臺北市公民參與網也有6個風險! (附件6)

這些風險包括注入攻擊(Injection)、安全組態設定錯誤(Security Misconfiguration)、跨網站腳本攻擊(Cross-Site Scripting)等等。這些風險可以讓駭客將惡意程式碼上傳到網站上,造成民眾只要瀏覽被駭客植入惡意程式的政府網頁,民眾的電腦就會被植入惡意程式,駭客就可以藉此得到民眾電腦的使用者權限,冒用使用者使用網路銀行、郵件、私密網頁內容、對談資訊。民眾常使用的政府網站居然隱含如此之高的漏洞,實在讓人心驚!

只是簡單初步測試就這麼多問題了

這還只是簡易的資安測試,就發現那麼多弱點,資訊局是不是應該儘速將每個網站進行滲透測試,更重要的,也是最基本的是網站、網頁、系統在上線之前就要先進行檢測,更進一步強化資安,請問諸如此類的SOP資訊局都修正好了嗎?

今年1月就發生重大資安事件洩漏萬筆個資,北市府還要緩步到2018年底才能做好24個APP安全檢測? 

世大運官方賽事瀏覽APP「TAIPEI 2017」,資訊局依據經濟部「行動應用APP基本資安檢測基準」進行檢測,檢測結果就發現iOS系統有6項資安弱點、Android有4項弱點,弱點項目高達4到6項,已經屬於潛藏高度資安風險的APP了!其中包含APP沒有避免將敏感性資料儲存於暫存檔或紀錄檔、沒有避免含有惡意程式碼、在儲存敏感性資料前沒有取得使用者同意等等資安弱點。

行政院在今年7月28日修訂「行政院及所屬各機關行動化服務發展作業原則」,規定各機關APP應該通過經濟部工業局訂定行動化應用軟體之檢測項目。上述光是一個簡單的APP就能夠有這麼多漏洞,目前市府還有24個APP,分別由17個機關管理,又要等到何時可以作好資安檢測? (附件7)

反正市民也沒有群體訴訟請求國賠,繼續慣壞資訊局好了?

發生過洩露萬筆個資、有過重大資安漏洞紀錄的資訊局到目前為止還僅回覆「2017年會花費100萬元,預計先行檢測10個APP的漏洞」而已!而剩下的APP究竟要何時才能做通盤檢討呢? 資訊局居然還回覆:「國發會已規劃APP資安檢測服務共同供應契約預計於2018年6月進行辦理,故將依據該會共同供應契約之期程進行採購作業。」難道還要牛步到2018年才會做完所有的安全檢測嗎? 民眾的個資早就被洩漏光光了不是嗎?

此外,北市府自己訂的「臺北市政府行動應用軟體(APP)服務發展作業原則」也沒有跟隨行政院的腳步,規定所有APP都應該定期檢測資安漏洞!(附件8)

一切外包,只編府內3名資安人力,要抵擋18億次惡意攻擊全部靠廠商! 

北市府每月防火牆阻擋連線次數平均約18億次、郵件閘道器每月平均收到4千多封可疑信件。但是資訊局近5年來卻僅有2位專責人力及1名兼辦人力在作這方面的工作,每年編列約342萬元預算(附件9),這些人最大的工作就是負責跟委外大小廠商居中連繫、通知某某資訊服務民眾又反映出了哪些包了。就算多聘,又如何可以證明這些人的專業能力是否足夠呢? 花大錢給廠商作政府該作的專業資安,但資安漏洞頻生,罰廠商的錢又是用手指可算的,資安在市府根本就是奢求! 市民別以為不用市府公共網路、Apps等等就沒事,別忘了一堆戶政、不動產、罰單、稅單牽涉的個資都握在北市府手中,就等著駭客們或一般人無意中就能順便看光光! 柯市長任內的資安門戶大開誰之過? 市民還要繼續慣壞北市府多久? 強烈要求市府資安要訂下每洩漏一筆分級個資,就要無條件賠償1定金額! 至於罰金廠商與市府分擔比例也是要訂清楚,不是一出事就拼命拿稅金再做測試/掃毒/去蟲! 市民受到損害,求償無門還要再加倍掏出自己腰包來處理後續資安補強,這不是市民永遠為刀殂肉嗎?

附件1:
2017/10/12 資訊局回文:

附件2:
iThome: 蔡英文:資安就是國安另開新視窗

附件3:

消基會:公務機關洩13萬筆個資 北市資訊局最嚴重 2017-3-30
消基會上午舉行記者會指出,近一年公務機關發生四起重大資安事件,造成民眾個資外洩筆數,達13萬筆。台北市資訊局的薪資發放管理系統出包最嚴重,外洩數量約7萬筆,其次是勞動部,中華郵政,外交部。

附件4:
2014年監察院決算審核報告就已提醒市府資安鬆散了

附件5:
2017-10-17【Wi-Fi加密大崩壞】WPA2漏洞引爆Wi-Fi上網危機,北市:已要求Taipei Free營運商密切注意

附件6:
2017/10/12 資訊局回文:

網站弱點掃描

【資安周報第54期】3成重要政府官網不夠安全,恐因XSS漏洞害民眾 2016-12-21

附件7:
2017/10/12 資訊局回文:

行政院及所屬各機關行動化服務發展作業原則另開新視窗

2017-05-08 官方APP 98個有資安高風險另開新視窗

附件8:
臺北市政府行動應用軟體(App)服務發展作業原則另開新視窗

附件9:
2017/10/5 資訊局回文:

2017-01-17自由時報: 建構國家資安 尚缺千餘人力另開新視窗

 

媒體報導 :

 2017.11.06  新頭殼 : 砸2.1億預算、3年出包17次 柯市府挨批資安不堪一擊

2017年11月6日 臺灣新生報 :  周柏雅批 北市資安不堪一擊!

2017年11月6日 自由時報 : 台北市府花2億元做資安 挨批不堪一擊

2017年11月6日 ETtoday 3年編2.1億強化資安 議員轟柯市府資訊安全不堪一擊

2017/11/06  三立新聞 台鐵訂票也危險?7成政府APP資安不及格 綠委籲快立法

姚文智則指出,地方其實也有資安需求,以台北市議員周柏雅的統計,台北市長柯文哲上任後已經花費二億一千萬在資安上面,但仍發生17件資安事件,其中包括薪資發放系統、2017年世大運志工系統等重大個資外洩事件。由此可見,地方迫切需要資安方面的相關規定,讓資安量能可以從中央下放到地方。

 

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s

%d 位部落客按了讚: