政府長年以來,在資訊安全領域疏於投資,公務機關的資安稽核,過去委託資策會技術服務中心負責,然而,資策會技服中心100多名員工,每年竟然只能稽核50個機構資安業務,財團法人國家資訊基本建設產業發展協會(NII)前執行長吳國維表示,以現階段資策會技服中心資安能力有限情況下,《資通安全管理法》通過後,未來政府在公務機關與非公務機關的資安稽核上,勢必得外包給民間機構負責,《資安法》強制民間企業進行資安認證的規定,根本在圖利資訊外包廠商。
張善政曾訂定《資安科技中心設置條例》 被時代力量擋下
吳國維表示,馬政府時代前行政院長張善政,為了推動資通安全立法,當時訂定《資安科技中心設置條例》,準備將資策會技服中心,納編為政府部門正式組織,但業界都知道,成立十多年、員額100多人的技服中心能力不佳,過去研考會每年編預算養這個單位已經夠沈重,《資安科技中心設置條例》竟然準備將它擴編到200多人,所幸法案被時代力量給擋下。
非公務機關130萬家 每年稽核不到50家
吳國維說,公務機關全台3000多個,非公務機關全台有130萬家,技服中心過去10年,每年只能稽核不到50家,未來資安法通過,如果要對全台公民機構進行資安稽核,勢必得委託外包廠商,資安法法案本身,等於埋下圖利廠商的因子,事實上,《資安法》立法過程,一直可以看到資訊業組成聯盟在遊說。
吳國維表示,全台具備資安認證機構,一年稽核的能量不過3、400家,《資安法》若強制全國130萬家企業,無論規模大小,都要擬定資安演練機制等,未來政府委外稽核廠商,可能會向民間業者「兜售」資安系統,甚至以恐嚇方式,強調未來如果資安稽核沒過,恐面臨處罰,「如果只是追求型式認證,台灣資安會因為資安法而進步嗎?我很懷疑。」
吳國維說,《資安法》所規範資通安全要求,必須要非常清楚,任何人都能判斷,對於一定規模以下非政府機構,若強加資安規範,只會讓企業更難生存,「日本個資法,只要客戶資料五千筆以下都不稽查,台灣官員有個缺點,法案訂定沒有從人民角度設想問題,只想要擴大行政權限,出事了,推給目的事業主管機關去扛。」
資安處希望創造軟體業就業 吳國維:又不是經濟部
吳國維表示,行政院資通安全處在訂定《資安法》時,講了一個很冠勉堂皇理由,希望透過非政府機關強制資安認證,創造資訊軟體業就業,但他先前很不客氣地詢問資通安全處長簡宏偉,「資安法目的是加強資通安全,還是創造就業?他說二個都要,我告訴他,『你又不是經濟部,你是資通安全辦公室,請把資安管好就好』」,以目前政府執行能力有限情況下,資安稽核丟了一堆外包公司執行,外包公司一旦出事,責任由誰扛?
吳國維表示,行政院如果要提升資水電、能源等關鍵設施的資安防護,凡是涉及國家安全,可以透過《國家安全法》規範,不需要再搞一個《資安法》。
