资安风险从IT领域外溢到OT领域　民眾党团吁速修资通法

2022年10月国内爆出户役政资料被公然放上国外网站贩售，至今无法确定外流单位，民眾党立法院党团27日指出，《资通安全管理法》现有条文不够明确，建议数位部完备工业控制系统的「操作和程序控制」（OT规范），加强风险评估标准，党团数位部尽快提出具体草案，也痛批政府不能只会推诿塞责，却不帮资安补破网。

民眾党立法院党团总召邱臣远、立委吴欣盈和陈琬惠上举行记者会，呼吁政府补足法规缺口、落实风险评估，预防类似案件一再发生。

吴欣盈表示，资讯安全维护可分为「计算机和资料网路」（Information Technology，IT）与工业控制系统的「操作和程序控制」（Operational Technology，OT）两大面向，现行《资通安全管理法》多偏重于IT，未就OT予以明确规范，民眾党团倡议《资通法》修正草案应参考新加坡《网路安全法2018》及经济部标准检验局CNS66243标准，完备OT规范。

邱臣远指出，可能外流全国户役政资料的单位有11个，由谁外泄、如何外泄至今还没有查出来。换言之，资安缺口逾半年都没有堵上，政府机关可能存在资安系统被入侵却不自知的问题，内政部长林右昌却在调查结果出炉前就断言，「百分之百不是内政部流出」，是否只是为了粉饰太平，让人细思极恐。

邱臣远表示，目前《资通安全管理法》并无详细规范风险评估标准，缺乏风险评估也导致执行上产生逻辑矛盾。此外，详细画分主关机关的责任与义务，也是落实法规重要的一环，民眾党团推动「资通安全管理法第三条及第七条条文修正草案」，呼吁朝野齐心及早通过，只有防堵现有资安不足，才能提升提升台湾资通产业竞争力。

立委陈琬惠表示，工业控制系统（Industrial control system，ICS）从早期封闭的运作环境，逐步与外部网路相连，制造业成为被勒索或攻击的目标，过去攻击主要针对IT领域，但近年OT领域攻击事件大增，尤以供应链攻击最为常见，不仅影响企业生产和营运，更直接影响国家基础设施安全。

陈琬惠指出，政府应协助企业建立「零信任架构」（Zero Trust）安全机制，简单来说是「永不信任，始终验证」，透过持续验证与控管，最小化潜在风险，协助企业建立更安全、更可靠的资讯安全防护基础，呼吁政府协助并督促企业制定合适的零信任策略及架构，特别是针对提供公共服务的企业，确保其具有足够资安防护能力。