台北市公共衛生資訊管理系統疑遭人植入木馬病毒,恐讓個資外洩。資訊局長李維斌9/13日說,透過「紅隊演練」系統主動發現資安漏洞,立即通報行政院資安中心,已針對有個資系統掃毒。
台北市議會9/13日下午召開市政總質詢,市長柯文哲與相關局處首長列席備詢。民進黨籍市議員顏若芳、許家蓓質詢時提及,關於公衛系統遭人植入木馬病毒,市府後續處置作為。
柯文哲答詢時說,資訊局在8月28日發現有資安問題,立即通報行政院國家資通安全會報技術服務中心,並按照SOP,府內先設置專案小組處理,目前法務部調查局和行政院都已介入。
議員質疑,北市府去年曾發生資安外洩狀況還被監察院調查,且每年都編列新台幣2億元做資安維護,但不到一年時間,卻發生多次資安狀況,要求懲處相關人員和提出調查報告。
李維斌表示,8月28日執行資安檢核時發現有異狀,先主動通知衛生局並呈報行政院資安中心,且從去年開始,針對有個資系統全部列管,今年也引進紅隊演練系統測試。
▲(示意圖/資料照)
李維斌說,平時針對資安狀況都有持續檢討,並邀請外部委員協助,但若遇到不可抗力因素進而追究同仁責任,對同仁而言負擔太大,且因人力不足,都是由同仁兼辦資安業務,若發生狀況還要被究責,可能會造成沒人願意承接,並在2星期內提出檢討報告給議員。
李維斌事後受訪時表示,公衛系統發生遭人植入病毒案,是透過紅隊演練系統發現,目前市調處已介入處理,會全力配合,至於是否有個資外洩情況,須由衛生局對外公布。
資訊局指出,「紅隊演練(red team)」系統是由專業資安廠商針對北市府提供含個資系統與網站進行模擬入侵攻擊,在有限時間內模擬駭客手法,後續針對弱點提供改善報告與建議,修補後再進行複測。