2014年2月18日 星期二

是誰明知系統有問題,還決定蠻幹?

是誰明知系統有問題,還決定蠻幹?




段宜康今(18)公布德商迪悌資訊(DTC)去年12月27日向內政部繳交「壓力測試報告」結論與建議。段宜康憤怒的表示,看到報告後才恍然大悟,怪不得跟內政部要了那麼久系統測試報告和壓力測試報告都不敢交出來。因為戶役政新系統根本沒通過最重要的壓力測試!

段宜康提到,在壓力測試報告五點結論中,每一點都明確告訴內政部:「新系統不能上路。」最嚴重的第五點,明明白白提到「只要250個使用者同時上缐,這系統就當機了。」其他建議也分別談到「系統設計導致傳輸頻寬不足、元件下載失敗、系統負荷過量」等問題。

段宜康痛斥每一個現在發生的困境,測試報告都已經預告了。但是,內政部沒有積極回應這些問題,也未依合約規定完成改善,就恣意趕鴨子上架,才會導致新系統問題不斷。

更讓人氣憤的是,由於戶政系統只有一套設備,因此沒有進行「平行上線」,讓新、舊系統同時運轉。只能將新、舊系統安裝在同一套設備進行系統測試。以內政部對外標舉的11次系統測試時程來看,都是在「下班時間」(12:00、17:00、18:00,每次半小時)由戶政人員協助進行,要如何進行「壓力」測試?段宜康也陸續接獲多位戶政基層人員反映,「系統測試沒有一次成功、系統根本不穩定。」

段宜康不滿地問:「那麼,是誰明知有問題,還決定蠻幹?」






2014年2月16日 星期日

跟魔鬼交易!犠牲資安,只求一時脫困?

跟魔鬼交易!

犠牲資安,只求一時脫困?

 

內政部戶政新系統陸續出包後,段宜康取得負責系統開發建置的「資拓宏宇公司」內部公開信,資拓竟然自稱「正扮演搶救雷恩大兵的角色」。搶救團隊目前正採取應用服務系統中,「AP Bypass」及「AP優化」兩種方式,讓戶政系統暫時性穩定。段宜康痛斥這種罔顧國人個資外洩風險,犧牲資安,只求一時脫困的方式,簡直是在跟魔鬼交易,完全行不通!

 段宜康邀請多位應用系統專家進行評估。專家研判,以AP Bypass的方式進行,極可能是以「犧牲資安風險,讓系統暫時性穩定。」段宜康進一步說明,資訊安全從瀏覽器、應用系統服務到資料庫,每一部分都與資訊安全息息相關。此次資拓採用的AP Bypass,可能以四種方式進行,無論選擇何種操作,絕對都是犧牲資安!舉例來說,最嚴重的是關閉安全系統,系統工程師才能檢查問題,在暫時關閉或陸續開關安全閥的過程,網域就會直接對外敞開,簡直就是將戶政資料的門戶洞開,讓駭客輕易竊取。而這些動作,應該在系統平行測試或獨立壓力測試時進行。怎麼會在正式上線後才做?段宜康強烈質疑,行政院資安辦公室、內政部戶政司及資訊中心,目前到底誰能掌握戶政系統現在的情形?

段宜康痛批,戶政系統跨機關自動化通報停擺,是內政部早就知道的事,但是內政部刻意隱瞞,也沒有任何防範作為,也不召開跨部會會議討論對策?而是等到他踢爆「戶役政系統無法自動通報,把所有壓力都推給基層戶政員」,才出面承認錯誤,關閉自動化原因竟然是怕系統當機、塞車!荒謬、可惡至極!
 段宜康不滿的說,「新系統到底要多久才能穩定、問題要多久才可以解決?」內政部長李鴻源也曾公開說:為了省錢,可能再花兩億都救不回來。他質疑,「內政部有人能夠交代為什麼要花兩億嗎?公帑從哪來?再花兩億,就可以讓新系統穩定嗎?」段宜康甚至揶揄的說,內政部從2月5日便對外宣稱,只需要微調就能恢復正常,為什麼微調了這麼久?都調了兩週仍然不行,還不如直接「砍掉重練」!

段宜康再次要求,內政部應該公開壓力測試報告、系統測試報告的結果。他不懂,「為什麼不敢公開?還是沒有做?是誰根本不顧報告內容,擅自決定在春節結束後就上線?」段宜康認為戶役政新系統上線至今,仍是不堪一擊,肯定禁不起駭客的攻擊。救援團隊還以犧牲資安的危險方法,只為求系統一時穩定。段宜康批評內政部罔顧國人個資安全,至今還是不當一回事!他質疑,行政機關到底有沒有從頭到尾,重新檢視一次新系統問題出在哪裡?