去年12月14日,立法院三讀通過「國家資通安全科技中心設置條例」,將資策會的「資通安全技術服務中心」行政法人化,改為「國家資通安全科技中心」,與行政院國家資通安全會報、科技部形成資安三級制,並於4月1日掛牌上路。但本屆之新立法院則以資安中心業務範圍不符「行政法人法」,且主管資安業務的上位法「資通安全管理法」尚未通過,若貿然把負責我國資安業務的組織,由原先二級管理制降為三級管理制,恐危害國家安全,故於5月3日通過廢止「國家資通安全科技中心設置條例」。

5月5日上午9時許,台大醫院醫護人員發現病歷、影像等資料無法與主機連線,迫使掛號、領藥改採人工作業,嚴重影響看診、領藥速度;甚至手術進行時需要調度人力、查詢病歷、調閱影像資料或向血庫調撥血液等,都無法透過電腦處理,須用電話聯繫,加重手術團隊工作量,也影響相關作業之時效與精確度;幸好,根據院方表示,沒有任何手術因此延期、取消或出問題。台大醫院宣稱電腦當機問題於當日上午11時排除,媒體估計受影響人數約四、五千人。

上述兩個事件看似影響有限,就「國家資通安全科技中心設置條例」被廢止事件觀之,目前國家資安工作由資策會的「資通安全技術服務中心」負責,合約已恢復,且效期到今年底,並可續約,故廢除「國家資通安全科技中心設置條例」,尚不致使國家資安工作有空窗期。至於台大醫院電腦大當機事件,由於事件所經歷之時間不到半天,受影響人數約僅四、五千人,不論影響時間或影響層面都不大,似可當成偶發輕微事件處置。

然而,若深入探討,這兩個案例雖屬小事件,卻有大警訊。就前者而言,立法院去年先通過「國家資通安全科技中心設置條例」,但「資訊基本法」、「資訊安全管理法」等重要母法卻付之闕如,使「國家資通安全科技中心」成為沒有母法的機構。而且,就職能分工而言,政府機關應掌管資安政策、資安防護體系,由公法人負責資安產業發展、資安產品認證,但依照立法院廢止之理由,「國家資通安全科技中心設置條例」將三者融合在國家資通安全科技中心這個公法人之內,形成產業主導政策,不符政府與法人職能分工的基本原則。大選前的立法院急於讓「國家資通安全科技中心設置條例」通過,好讓資策會的「資通安全技術服務中心」行政法人化,未免操之過急,甚至讓人有因人設事之慮。

至於台大醫院電腦大當機事件,若深入探討,會覺得台大的資安管理值得大幅改善。就事件本身而言,媒體引述台大說法,是網路系統出問題,影響所及,病歷、影像等資料無法與主機連線,醫師看診停擺;甚至手術房內向血庫調撥血液等重要且有時間性的作業都只能改用電話,在時效、精確與安全上都有所不及。以醫療機構而言,時效、精確與安全是最重要的。我們不解的是,人命關天的醫療機構,莫非沒有備援網路系統,或是備援系統啟動成功需耗時兩小時以上,甚至外傳是駭客攻擊,以致網路癱瘓(此點台大官方嚴加否認)。幸好天佑台大醫院,在這半天之內,沒有因網路系統當機而鬧出人命,我們對台大醫院並不想「究責」,但希望台大醫院能「究因」,對社會有所交代。人命關天,不只是台大醫院,其他醫療院所也應當以此為鑑。

在上週的兩天之內,發生兩個看似微小的資安事件,其實都應慎重看待,當成資安問題的大警訊,因為在網路無所不在的現今社會,資訊安全維護是最重要的事。立法諸公們務請按部就班,建置好相關法制,好讓國家資安維護能環環相扣,不至於有子法與母法立法程序倒置情事,更不宜讓一個公法人包辦資安政策、資安防護體系、資安產業發展、資安產品認證等全部資安項目,成為資安體系的太上機構。雖然我們也認同行政院長張善政所擔心的新政府內閣組合幾乎沒有對資訊這塊比較熟的人,然而,法治社會仍應先訂好制度,再去尋找識馬的伯樂。

在醫療體系方面,對於台大醫院電腦大當機事件,我們希望衛福部不要將之視為一個機構的偶發微小事件,而要以人命關天的慎重態度,將之作為資安風險控管的重要案例。衛福部應要求台大醫院提出事件確實原因之完整報告,並陳報解決問題之具體方案;更進一步,對於所有醫療機構分級訂定資安控管與維護制度,並且落實相關制度之執行。當資安成為影響民眾生命安全的重大因素時,即使資安非衛福部專業,也應向行政院求助,讓民眾在就醫時得以安心。

綜言之,莫以善小而不為,莫以惡小而為之,莫以事急而便宜行事,在新舊政府交接之際,更應注意小事件背後的大警訊。

#資安