https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

開放服貿二類電信影響資安? 主管機關應證明監管能力

2014 / 04 / 09
張維君
開放服貿二類電信影響資安? 主管機關應證明監管能力

服貿協議開放二類電信3項特殊業務及電腦相關服務業是否會影響國安與資安,近來引起社會大眾關注,台大、交大等200多位學者公開質疑,並已展開連署反對,對此國家通訊傳播委員會NCC昨(8)日舉辦公開說明會針對二類電信開放的部分進行說明。在報告說明的結語,NCC強調開放此三項特殊業務對一般民眾與整體電信網路的資安風險並未增加,「最壞情況只是少數企業客戶的秘密被竊取」。業界顧問則認為開放之後,主管機關應負起更多監管責任。


此次所開放的3項二類電信事業特殊業務是指存轉網路服務、存取網路服務、數據交換通信服務等。其中就包括企業向電信業者租用的VPN專屬網路。NCC強調此3項業務早在98年6月已開放陸資投資,至今未對國安資安產生任何可觀察到的影響,而此次僅是比上次再多開放到准許連結到國外,過去僅開放在國內點對點傳輸。


儘管VPN對外而言是封閉網路,但對系統營運商管理者而言(如果想要)仍可攔截傳輸封包,企業傳輸的資料幾乎可被看光光。對此,NCC副主委虞孝成有三點回應,第一、NCC有制訂6項配套管理措施,其中包含需取得ISO 27001、27011驗證;第二、若業者有違法偷窺企業客戶資料,依據電信法第6條、56-1條可處5年以下有期徒刑併科新台幣150萬元以下罰金;第三、企業怕外洩可先自行加密之後再傳輸。


熟知資安管理系統(ISMS)者皆知,ISO27001僅是作業流程面的驗證不代表百分百無資安風險,而依法處罰也是資料已經外洩事後的事情。至於建議企業採取加密的做法,實務上可行性更低,某企業IT主管表示,有採用VPN的企業八成不會另外加密,因為走VPN還另外加密會更影響傳輸效能,且佔用掉所租用的傳輸頻寬。


虞孝成指出,提供此類服務的除二類電信業者外,原本中華電信等一類電信業者也都有提供,若有疑慮的企業仍有多家業者可選擇。至於將來哪些二類電信業者有陸資投資,未來會公告在NCC網站,企業可自行參考。


虞孝成進一步表示,開放此一業務可能造成少數企業有資料外洩風險,然而此一少數風險相較於簽訂服貿協議後,我們所能獲得更多的利益,站在國家經濟發展而言仍應開放。交通大學資工系特聘教授林盈達則認為,此一影響決非只有「少數」企業,以「數據交換通信服務」而言,目前台固、亞太等各ISP業者之間的數據交換是由中華電信所營運的台灣網際網路交換中心(TWIX)負責,然而當開放此一業務後,未來陸資企業即可經營此數據交換服務,屆時若ISP業者轉由此收費較為低廉的交換中心進行數據交換時,那麼該ISP的用戶資料就可能在不知不覺中被出賣了,這時所受影響的就不只是「少數企業」了。

勤業眾信副總經理萬幼筠則認為一旦開放之後,更重要的是主管機關必須做好監督責任,相關規範應強制要求應做到,並重視落實執行面。以歐美諸國而言,是開放但採許可制,嚴格設立專業標準與門檻,FCC、商務部隨時都可卡關與放行。


而目前,如前述NCC所制訂的6項管理配套包括1)陸資需為大陸或海外上市電信業者。2)陸資持股不得超過50%。3)陸資不具控制力,含人事、營運等。4)陸資不得與我國固網業者合資經營。5)應取得ISO 27001及27011驗證。6)陸資投資的我國業者不得將用戶資料或業務部門、業務系統移到大陸等。
上述6點顯然仍有不足,主管機關在開放之餘是否能制訂更完善的監督機制,將相關規劃的配套辦法一次講清楚,同時證明自身擁有監管能力,相信比較能讓社會大眾減少疑慮。