https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

開放服貿資服業影響資安? 主管機關應做最壞狀況的模擬

2014 / 04 / 28
張維君
開放服貿資服業影響資安? 主管機關應做最壞狀況的模擬
太陽花學運已落幕,50萬人走上街頭讓更多人開始關心服貿。在此次服務貿易協定開放的項目中,除了二類電信3項業務外,與資安產業息息相關的還有電腦及相關服務業的開放。其中包括電腦硬體安裝諮詢服務、軟體執行服務、資料處理服務、資料庫服務及其他等5大類。開放資服業是否影響台灣國安與資安?日前國安局首度在立法院報告服貿國安評估,國安局長強調開放雖有風險,但只要控管風險,仍應持續交流。

服貿開放陸資來台投資資服業,可以從事上述資服業務,許多人質疑如果陸資資服業者參與政府標案,協助與國安相關重要IT系統的建置,難保不會有國家機密資料外洩風險。對此,資服業主管機關經濟部工業局知識服務組副組長林俊秀有3點回應,第一、過去公共工程委員會曾發函各機關,基於國家安全的理由,相關資訊系統的建置可以採取限制性招標,而為了讓各機關承辦人員更了解如何透過「最有利標」選擇最有利於機關的廠商,日前工業局亦舉辦研討會,會中工程會詳細介紹工程會網站已提供最有利標作業手冊、資服契約範本、簽辦文件範例等資料可供下載,希望承辦人不要再以擔心圖利廠商而採價格標。第二、工業局之所以開放資服業,主要考量當服貿開放,有更多陸企來台設立分公司時,一定會習慣找過去在大陸合作的資服業者來協助資訊系統的建置,如ERP等,就像台商在大陸也習慣找台灣的資服廠商建置系統,因此才開放資服業。第三、陸資來台投資的企業名稱可以在投審會官網查詢,過去8年來工業局在審查時也曾基於資安,而有禁止陸資來台投資的案例。

然而一位熟悉標案市場的資安專家則憂心,一旦開放陸資來台投資資服業,難保不會有借殼投標或以人力派駐方式參與系統建置的情形,屆時在系統開發或測試過程中,很容易可以知道程式設計的邏輯,也就能藉此掌握系統核心。專家建議,政府在決定開放前,至少應該做好最壞狀況的模擬,包括要有個檢測的環境以阻絕可能的惡意行為,同時在一定金額以上的標案系統應訂好制度或benchmark加以規範。

從開放二類電信的特殊業務到資服業,許多人仍有高度國安與資安疑慮,主管機關除了舉辦更多場單向的政策說明會外,應制訂更具體的規範,而不是以「擔心的話你不要用」的態度要大家自求多福。