財政資訊中心113年度預算案於「財政資訊業務-電子發票管理經費」項下編列「辦理電子發票整合服務平台維運」經費4,900萬元,係辦理該平台應用系統增修、維護及軟硬體設備費用等。經查:
(一)112年5月間發生「財政部電子發票整合服務平台營利事業登入」之資安事件
1.財政部電子發票整合服務平台(以下簡稱平台)主要提供營利事業電子發票存證及查詢服務,並供帳務及營業稅申報使用。95至102年間,營利事業以工商憑證註冊後,自行設定帳號密碼登入系統。自103年起,為推廣電子發票,新增營利事業至國稅局臨櫃申請帳號並由平台配發密碼。
2.嗣112年5月9日民眾發現平台登入缺失,通報「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」,翌日TWCERT/CC轉知數位發展部資通安全署,該署即聯繫財政資訊中心,該中心確認平台弱點後,於5月11日辦理資安通報並進行相關盤點清查及進行相關改善措施,另於5月22日行政院國家資通安全會報進行「財政部電子發票整合服務平台營利事業弱密碼改善及檢討」報告,作為各部會之借鏡。
(二)關於財政部及所屬機關對外服務並提供民眾登入之網站,允宜定期檢視並進行系統化體檢
為強化資料保護及資通安全風險管理,財政部於112年5月26日訂定「財政部資通系統資安總體檢計畫」,並依「資通安全管理法」、「資通安全責任等級分級辦法」與財政部及所屬機關(構)資通安全管理規範要求,針對尚須提供帳號密碼登入之系統,應符合前述法規密碼強度及複雜度規範、使用預設密碼登入系統應立即變更密碼、具備帳戶鎖定機制及身分驗證相關資訊不以明文傳輸等,並應完善保存系統日誌,包含事件類型、發生時間、發生位置及任何與事件相關之使用者身分識別等資訊,以及記錄使用者之登入紀錄外,亦應記錄帳號登入後之操作活動。財政資訊中心盤點財政部及所屬機關對外服務並提供民眾登入網站共29個(詳表1),允宜定期檢視並進行系統化體檢,以提升資訊安全。
表1 財政部及所屬機關對外服務並提供民眾登入網站概況表
項次
安全等級
網站總數
網站名稱
第4級
第3級
第2級
第1級
自然人憑證、工商憑證等憑證
行動自然人憑證、行動電話認證
健保卡加密碼、軟體金融憑證
帳號
密碼
1
V
V
V
V
1
國稅電子申報繳稅系統
2
V
V
V
1
稅務入口網
3
V
V
V
2
地方稅網路申報作業、國庫署網站服務系統
4
V
V
8
促參資訊系統、菸酒管理系統、關港貿單一窗口、保稅智慧平臺、跨機關資訊整合平臺、優質企業(AEO)申辦平台、國稅共同申報及盡職審查作業系統(CRS)、電子發票整合服務平台
5
V
17
賦稅署及國稅局官方網站討論區(計6個)、國稅局及財政資訊中心電子發票短期宣導活動網站(計11個)
合計
29
資料來源:財政資訊中心。
綜上,本次資安事件經財政資訊中心盤查平台雖無異常查詢情形,且無資料外洩情事,亦無接獲營利事業反映資料洩漏,惟引發營利事業對於平台疑慮及社會關注,本院委員會並邀請數位發展部及財政部進行專案報告,行政院國家資通安全會報亦高度重視,財政資訊中心雖立即進行改善,仍宜借鏡本次資安事件經驗,定期檢視並進行系統化體檢財政部及所屬對外提供民眾登入之網站,以提升資訊安全。