跳到主要內容區塊
:::

112年度中央政府總預算案整體評估報告

七五、隨資通訊科技快速變化,資訊安全威脅日益險峻,允宜提升防護能量與全民資安意識,並落實安全管理措施,俾降低資安風險 日期:111年9月 報告名稱:112年度中央政府總預算案整體評估報告 目錄大綱:伍、歲出部分 資料類別:預算案評估 作者:預算中心

我國自90年陸續推動各項重大資通安全計畫或方案,並於106年核定「國家資通訊安全發展方案(106年至109年)」(第5期發展方案),將資安提升至國安防護層級,且自108年起實施資通安全管理法,以面對資通安全威脅與挑戰。經查:

(一)近年來中央政府資安政策推動與預算編列情形

迄109年底,中央政府已陸續推動5期之重大資通安全計畫或方案(詳表1),以有效提升我國資安完備度;目前刻正實施第6期國家資通安全發展方案(110年至113年),以打造堅韌安全之智慧國家為願景,並透過年度預算及前瞻基礎建設計畫投入相關經費,持續精進與落實各類防護措施,以因應逐年提高之資安威脅。近3年度(109至111年度)中央政府各部會年度預算資安防護經費編列數介於8.21至8.72億元間(詳表2),經常門占比皆超逾7成。

另前瞻基礎建設計畫「強化政府基層機關資安防護及區域聯防計畫」第1期及第2期特別預算編列21.12億元及18.54億元,用於充實資安防護所需經費,以及第3期特別預算編列「臺灣資安卓越深耕-資安卓越中心計畫」8.18億元,挹注發展數位應用資安生態系,俾完備資安能量。

表1 我國資安計畫或方案推動情形一覽表

計畫或方案

第1期機制計畫

第2期機制計畫

第3期發展 方案

第4期發展方案

第5期發展 方案

期間

90-93年

94-97年

98-101年

102-105年

106-109年

完成重大事項

建構資安防護體系,完成政府機關分級機制

健全資安防護能力,成立國家資安監控中心

強化資安整體應變能力,精進通報應變機制

加強資安防護管理聯防監控與資安情報分享

推動資通安全管理法,完備國家資安聯防體系

資料來源:整理自國家資通安全發展方案(110年至113年)。

表2 109至111年度資安防護經費預算統計表 單位:新臺幣千元

項目

109年度

110年度

111年度

金額

占比(%)

金額

占比(%)

金額

占比(%)

資本門

235,382

26.99

232,294

28.29

220,356

26.30

經常門

636,772

73.01

588,877

71.71

617,420

73.70

合計

872,154

100.00

821,171

100.00

837,776

100.00

說 明:據行政院表示政府各部門年度資安經費預算編列數係於當年度第1季進行統計調查,故尚未能提供112年度預算數據。

資料來源:行政院資安處提供。

112年度預算案除由各部會持續按資安產業發展行動計畫規定之比率,於中長程施政計畫提撥資安經費外,尚新增或續編相關資安計畫計約10.05億元(詳表3);此外,前瞻基礎建設計畫第4期特別預算案於「數位建設-基礎建設環境」科目項下續編「政府基層機關資安主動防禦計畫」9.2億元及「臺灣資安卓越深耕-資安卓越中心計畫」6.6億元,合計15.8億元,挹注各機關完備資安防護相關設備,以及建構中央與地方多重資安聯防體系等機制,並培訓實戰與跨域人才。

鑒於政府資安業務需求日益擴大,然資安資源有限且分散於各部會,為提升資安防護能量及因應數位發展趨勢,行政院於數位部下設立資安專責機關資通安全署,以統籌協調及推動全國資通安全治理業務;該署業於111年8月27日起成立,負責國家資通安全政策之研擬、規劃及執行、政府機關與公營事業機構資通安全業務之評鑑及考核、資通安全事件之通報應變評估等業務,允宜積極統整政府資安治理機制,並推動跨部會合作,落實資安資源整合及管理,俾有效協助政府加速建構完善之國家資安環境,以厚植我國資安實力,並降低資安對於社會與國家之衝擊威脅。

表3 112年度相關資安防護計畫經費統計表 單位:新臺幣千元

計畫名稱

金額

編列機關

備註

合計

1,005,691

整體政府資通安全防禦技術暨系統韌性強化計畫

254,837

數位部暨資通安全署

新增計畫(112至115年),總經費13億9,183萬7千元。

資安驗證環境建置計畫

50,000

數位部

由行政院國家科學技術發展基金編列5年期,總經費2億2,000萬元,配合「低軌通訊衛星計畫」之執行。

資安跨域整合聯防計畫

641,062

數位部暨所屬

國家科學及技術委員111年8月26日科會前字第1110053773號函核定112年度「資安跨域整合聯防計畫」,分由各部會編列執行。

13,927

金管會

19,040

經濟部

26,825

衛福部

資料來源:整理自112年度各部會預算案。

(二)政府機關資安事件通報類別以非法入侵最大宗,安全防護能量有待提升,另法令遵循情形尚待落實

108年政府機關發生之資安事件為674件,迄110年增加至733件(詳表4),而資安事件發生之類別區分為非法入侵、設備問題、網頁攻擊、阻斷服務及其他等,以非法入侵占通報類型最大宗,且110年523件,較109年396件增加127件,增幅逾3成;依110年國家資通安全情勢報告之分析,主要肇因於使用弱密碼或廠商維運管理疏失,相關案例包括委外廠商遠端連線未妥善管理,致遭駭客上傳惡意程式;或未遵循政府組態基準要求之複雜性與強度原則設定,導致帳號密碼遭暴力破解成功,並植入勒索軟體等。

表4 政府機關資安事件調查表 單位:件

年別

主管機關

非法入侵

阻斷攻擊

設備問題

網頁攻擊

其他

小計

108

中央政府

113

3

30

56

61

263

地方政府

152

1

9

106

143

411

小計

265

4

39

162

204

674

109

中央政府

146

5

35

27

80

293

地方政府

250

0

9

37

88

384

小計

396

5

44

64

168

677

110

中央政府

147

0

36

9

60

252

地方政府

376

1

21

27

56

481

小計

523

1

57

36

116

733

合計

1,184

10

140

262

488

2,084

資料來源:行政院資安處提供。

另依據資通安全署統計,111年1至7月資安事件統計數量(包含公務機關、特定非公務機關及實兵演練)共543件,較110年同期535件增加8件(1.5%),又行政院於111年6月公布公務機關110年度之資安稽核概況報告發現,受稽核機關核有管理作業待改善事項諸如:未落實資安法施行細則第4 條規定,資訊服務委外作業未於合約或建議書徵求文件明確規範防護基準需求;或部分機關辦理委外廠商稽核作業無記錄相關查核證據,且無追蹤管考機制,與前揭規定未符;部分機關雖已規劃執行內部資通安全稽核作業,惟稽核計畫內容不完整;是以,各機關允宜確實落實法令遵循事項,以強化資安防護之完整性與有效性。

(三)依相關資安調查報告指出,承包政府資訊業務之供應鏈廠商易成為駭客入侵跳板,資訊作業外包安全管理愈趨重要

現行各機關預算書編列之資訊服務費包括廠商購買資訊作業相關設備保養、維修及操作等服務,或租用資訊硬體設備、使用外部資訊中心硬體等費用,109至111年度預算數分別為62.36億元、67.01億元及71.31億元,112年度預算案增加至82.53億元,呈逐年成長趨勢。

依據資安業者Check Point111年1月底發布之2021年全球威脅趨勢回顧報告分析,企業於2021年每週遭受網路攻擊數量較 2020年增長50%,就產業別分類,遭受攻擊次數前5名者依序為教育與研究機構、政府與軍事機構、通訊業、網路服務供應商/託管服務供應商及醫療保健機構,而政府機關向來是各類資安威脅覬覦之目標,且隨政府服務數位化及數位服務委外開發,資安風險亦相對提升;法務部調查局亦曾於109年8發布新聞指出,近來偵辦數起政府機關遭駭案件,調查過程中發現承包政府標案之資訊服務供應商,因其負責政府機關重要資訊系統之開發及維運,易成為駭客主要攻擊目標,試圖竊取機敏資訊及民眾個人資料,凸顯政府資訊作業外包安全管理作業之落實愈趨重要。

(四)我國資安事件以個資外洩為主要型態,民眾資安防護意識亟待提升

國發會110年4月公布之「國家數位發展研究報告」指出,我國資安事件以個資外洩為主要,而12歲以上民眾僅有35.1%運用資安措施(如安裝防毒軟體或設定數字密碼、圖形密碼、人臉或指紋辨識等)且最近3個月曾更新;此外,110 年國家資通安全情勢報告就政府機關通報之資安事件分析,其中3 級事件以資料外洩事件居多,除網站設計不當或應用程式漏洞導致之外,皆發生使用Google表單蒐集民眾資料,因權限設定不當致使民眾可瀏覽他人填寫資料,造成個資外洩,顯示資通安全防護意識仍待提升。

綜上,隨著資通訊科技快速發展,資安威脅層出不窮,依據相關資安調查報告顯示,因政府服務數位化普及與數位服務委外開發,致各機關面臨之資安威脅相對升高,且我國個資外洩情形亦待改善,主責機關除賡續促各部門提升資安防護能量,強化全民資安意識及落實安全管理措施,有效控制資安風險外,允宜確實統整資安資源與機制,俾發揮資源整合綜效,有效降低資安風險。

(分機:1930 芮家楨)