1.新闻网址︰
https://rwnews.tw/article.php?news=6360
2.新闻来源︰《菱传媒》(记者王烱华/台北报导)
3.完整新闻标题独家/资安危机!中科院一级主管休假帐密给秘书 涉密资料恐被看光光
4.完整新闻内容︰
毫无资安意识!负责国军高科技武器研发的国家中山科学研究院,某一级主管因病休假10天
,除了没有向中科院资安长(中科院副院长林高洲兼任)完成报备程序,竟还将公务帐号、
密码直接给秘书使用,遭院内员工检举后,中科院却以黄处理公务将帐密交给秘书使用,未
涉及不法结案,遭批是调查、惩处“遇见高阶长官就转弯”。
中科院依国防部政策指导及各军种建军备战需求,研发国军制空、制海、国土防卫、资电网
路、联合指管情监侦及不对称战力等各式武器装备,在日益升高的台海危机,研发武器、培
育人才,对我国防安全扮演重要的角色。
不过,掌握我重要武器研发机密的中科院,却屡爆资安危机,2018年时,中科院一名彭姓技
术人员借由职务之便,将中科院所研发的无人机、雄三超音速反舰飞弹等机密档案下载到自
己的资料夹,该员在被中科院停权调查期间,又利用同事电脑把资料夹删除,遭检方一审判
刑8个月。中科院在2018年“网络储存服务器”的采购标案中,误将中国“百度云”放入备
份公有云的目的端,引发中科院机密资料的资安危机,相关人员遭记申诫处分。
面对外界疑虑,中科院虽然一再强调加强管制资讯安全,但中科院系统维护中心一级主管黄
明耀主任今年9月20日至30日向院方请病假开刀疗养,但请假期间,黄明耀的系统帐号却被
登录使用,经院内员工发现向院方检举,中科院却以黄处理公务为由,将其帐号密码交由祕
书登录使用,并以未涉及不法结案。
资安规定、职务代理规定如同虚设
根据国防部及中科院所订颁的资通安全规定,资通安全“系统合法使用权限人员应善尽保管
个人帐号及密码,切勿交付他人使用”。另外,为避免人员休假造成重要任务延误,中科院
也订有“国家中山科学研究院人员职务代理作业规定”,其中第三点规范:“本院各项职务
应依下列作法,按职责、性质与工作内容,排定现职人员代理顺序:一级主管:依职务代理
原则,由现职一级副主管中排定三级代理顺序;一级副主管现职人数不足三人时,自二级主
管检讨递补”。
依规定,系统维护中心主任职务代理顺序,第一顺位为副主任高振宇,第二顺位是副主任吴
建兴,第三顺位是副主任林海芬。而且依作业规定应于休假前交接好相关事务,并于休假期
间由副主任代理业务执行,而非交由本身无接密等级之主任秘书进行业务代理。
因此,爆料人士质疑,黄明耀是中科院所列管的涉密人员,其私自将其帐号、密码交由其祕
书处理公务,即有违反国军及中科院保密规定,但中科院却是官官相护,案件调查也是“碰
到高阶长官就转弯”,就是想要掩盖事实。
一级主管帐密登入 机密全都露资安漏破口
事实上,中科院系统维护中心承接国军及政府多项专案任务,相关资讯资料包含“密”级的
“一般公务机密”或“营业秘密”。况且,黄明耀身为中科院一级主管身分,亦可能接触包
含“机密”等级以上资料,其帐号权限范围相当广阔,虽然中科院各项管理资讯系统确实均
须透过实体凭证卡、指静脉与密码进行登入,但电子邮件信箱及存放专案资料之网络磁盘空
间均不受实体凭证卡管控,只需以帐号密码登入即可查阅专案资料及各项档案。
爆料者质疑,黄明耀其将帐号、密码交由无涉密等级的祕书使用,即可能造成中科院资安破
口,甚至可能有机敏资料外泄的疑虑。
中科院在回复《菱传媒》询问时指出,黄明耀主任囿于眼疾开刀休养期间,为避免延误单位
重要工作推行,授权单位同仁登入行政电脑查阅电子邮件及行程,以利及时下达指示及任务
协调,并于销假返院后即变更登入密码,经查属实。
中科院进一步指出,经相关权管单位审认,黄明耀仅授权单位同仁登入帐号查阅邮件及行程
,其余院内各项管理资讯系统均须透过实体凭证卡与密码,认证登入后方可执行业务签办;
尚无违反“资通安全奖惩作业规定”之虞。
至于黄明耀将行政电脑的帐号、密码交付祕书使用,是否有向中科院的“资安长”完成报备
,中科院则坦承,系统维护中心的资安长确实知道黄员请假,但黄员身为单位一级主管,其
将帐号、密码交由祕书使用并没有向院级的资安长完成报备程序,未来中科院也会强化一级
主官(管)的资安报备及审核程序。
5.附注、心得、想法︰
近年我国爆出多起资安危机,如“户政资料外泄”、“外交电报外泄”等
在户政资料外泄案中,内政部代理部长花敬群表示,这部分已进入检调程序,不太清楚现在
检调的进度。
至于外交电报外泄案,立院外委以冻结3百万元外交预算方式,要求提出调查报告