🔩五倍券又爆遭冒綁,政府資安螺絲掉滿地
還記得9月22日上午,中秋連假後的第一天,因各數位支付加碼優惠及好食券皆為限量,全民瘋搶數位五倍券綁定。
沒想到,系統根本扛不住瞬間湧入的流量導致網站當機,有人搶了一整天還是沒搞定;還有網友發現綁定郵局Taiwan Pay時,只要按一鍵「F12」就能查OTP驗證碼,顯見台灣公家機關的網站有漏洞。近日更有人在社群網站社團爆料,自己想預訂紙本時,才驚覺已遭他人數位綁定冒用,而且看來恐不只這一例👀
虹安長期以來,一直關心政府資安議題,我必須對此提出質疑:五倍券線上系統建置花費了九億公帑,到底花到哪去了?行政院推動數位化的立意良善,但在政策與相關服務上線時,資訊安全卻沒跟上,造成人民利益受損,這是哪門子的「有政府,會做事」?
別忘了,之前內政部一意孤行欲強推數位身分證,當時政府也是掛保證不會有洩露個資疑慮,事後證明,當時社會各界與資安專家的質疑有所本!
上週五教育部也爆發委外團隊誤刪高中生學習歷程檔案之離譜情事,這已不是單一事件,很明顯行政部門的資安與網站管理螺絲不只是鬆了,根本是掉滿地,需要做通盤檢討與反省🤦🤦
資訊安全 委外 在 鄭麗文 Facebook 的最佳貼文
【無資安意識的政府 還需要駭客嗎】
➡️五倍券網路登記,民眾為搶限量優惠,
短時間內大量連線湧入網站,造成網站大當機,
其中更發生金融機構用來增加資安保護的認證一次性密碼(OTP),
原應該透過簡訊或email傳送,竟然在網頁原始碼直接就可以看到。
OTP若可直接從瀏覽器取得,代表第二任證程序失效,有心人更有機會登入其他人的帳號,這次發生問題的是台灣Pay綁定郵局VISA金融卡,如果這樣的漏洞也存在郵局的其他系統恐造成嚴重的資安風險。
➡️另一個事件,教育部學習歷程檔案遺失事件,
108年新課綱,將學習歷程檔案將作為升學重要評分及錄取依據,
因此這些檔案對於學生來說相當重要,
這次在虛擬機VM搬遷的過程中,硬碟設定失誤,造成檔案永久消失,才讓大眾發現,原來這些重要檔案都沒有備份。根據一般業界的標準,檔案基本備份是三份,重要檔案可能更多,為求風散風險,這些備份檔案也會透過雲端儲存技術備份在不同地區,增加資料保護強韌度。但在此事件中僅是一個重新開機的動作就讓資料消失了。
資訊安全的內涵是保護單位或組織之資訊資產,並透過相關軟、硬體協助,如系統監測、權限控管等方式,確保資料/資訊的「機密性、完整性、可用性」。
五倍券驗證碼在不該出現的地方出現,是資訊的機密性出現問題;而學習歷程遺失則是在資料的完整性、未來的可用性發生狀況。
這兩個事件,都透露出政府資安存在很大隱憂。
政府的智慧化其實代表著,
未來會有更多的政府服務,
會透過科技工具來完成,
而資安的概念不是只有IT人員需要,
而是在整個政策規劃、管理及驗收各單位都需要的概念,
五倍券為了特殊目的在短時間開發出來的系統,
這個系統在規劃的同時是否考量資安相關問題,
在驗收的程序中是否有特別針對資安進行測試。
而在學習歷程的建制中,資料的重要性是否與採取的保護手段相符
這些過程都是可以發現資安問題的關卡。
因此,呼籲行政院應納入資安檢核程序在涉及科技服務採購、委外,
政府應建立資安風險評估機制,在採用數位方案前先進行資訊安全評估,
以確保政府資訊安全。
說個笑話,
國防部 沒想到誤觸雄三飛彈會射出去
經濟部 沒想到椅子滑會造成核電廠停電
教育部 沒想到手滑會讓學習歷程檔案全消失
#原來滑一滑就能滅國了
#教育部應保證學習歷程檔案不會再遺失
#政府資安真的不能等
資訊安全 委外 在 親民黨 People First Party Facebook 的最讚貼文
【高中學習歷程檔案」出包,教育部無人負責?】
作為新課綱指標的「高中學習歷程檔案」,首批高三生即將在明年使用該資料升大學,但是如今卻發生資料「遺失」,讓學生、老師、家長手忙腳亂。而原因竟是教育部委外廠商操作「手誤」,按錯一個鍵,造成81所高中職、逾2萬多筆的「學習歷程檔案」消失不見。除了凸顯政府沒有能力處理「資訊安全」外,也顯見「外包機制」問題叢生,政府缺乏有效的監督制度去監控外包廠商的行為。
號稱「高中學生三年履歷表」的學習歷程檔案,不僅定期記錄、整理學生的學習表現,以幫助學生生涯探索,也是個人申請大學的「備審資料」。而今資料遺失,雖然教育部提出4大補救措施,但卻是寄望學生「留有備份」,能自行重新上傳資料;至於沒有備分的學生,則由老師輔導「重做」,會補貼老師鐘點費。不過,家長氣炸了,怒批如此重要的學生學習資料,竟然備份「不完整」、「不及時」!且官員一句「重做」,難道學生不需要重新花費時間與心力嗎?這樣情況合理嗎?
可見,教育部在案件委外後,根本沒有進行有效的監督。長期下來,主其事的機關「過度依賴」外包機制,外包廠商則「反客為主」,當緊急狀況發生時,主管機關也就全然喪失應變能力了!
▲新聞眼/南韓 由國家級中心管檔案→https://pse.is/3nmvtg
▲北市系統守住高中學習歷程 家長:備份是最基本→https://pse.is/3putyp
資訊安全 委外 在 資安管理-系統委外承辦人員責任 - YouTube 的推薦與評價
各校以全機關為範圍導入ISMS【系統 委外 承辦人員】應優先落實的執行策略.PDFhttps://tinyurl.com/78uwah5h資通 安全 實地稽核檢核項目第五大類(系統 委外 ... ... <看更多>