2014年2月16日 星期日

跟魔鬼交易!犠牲資安,只求一時脫困?

跟魔鬼交易!

犠牲資安,只求一時脫困?

 

內政部戶政新系統陸續出包後,段宜康取得負責系統開發建置的「資拓宏宇公司」內部公開信,資拓竟然自稱「正扮演搶救雷恩大兵的角色」。搶救團隊目前正採取應用服務系統中,「AP Bypass」及「AP優化」兩種方式,讓戶政系統暫時性穩定。段宜康痛斥這種罔顧國人個資外洩風險,犧牲資安,只求一時脫困的方式,簡直是在跟魔鬼交易,完全行不通!

 段宜康邀請多位應用系統專家進行評估。專家研判,以AP Bypass的方式進行,極可能是以「犧牲資安風險,讓系統暫時性穩定。」段宜康進一步說明,資訊安全從瀏覽器、應用系統服務到資料庫,每一部分都與資訊安全息息相關。此次資拓採用的AP Bypass,可能以四種方式進行,無論選擇何種操作,絕對都是犧牲資安!舉例來說,最嚴重的是關閉安全系統,系統工程師才能檢查問題,在暫時關閉或陸續開關安全閥的過程,網域就會直接對外敞開,簡直就是將戶政資料的門戶洞開,讓駭客輕易竊取。而這些動作,應該在系統平行測試或獨立壓力測試時進行。怎麼會在正式上線後才做?段宜康強烈質疑,行政院資安辦公室、內政部戶政司及資訊中心,目前到底誰能掌握戶政系統現在的情形?

段宜康痛批,戶政系統跨機關自動化通報停擺,是內政部早就知道的事,但是內政部刻意隱瞞,也沒有任何防範作為,也不召開跨部會會議討論對策?而是等到他踢爆「戶役政系統無法自動通報,把所有壓力都推給基層戶政員」,才出面承認錯誤,關閉自動化原因竟然是怕系統當機、塞車!荒謬、可惡至極!
 段宜康不滿的說,「新系統到底要多久才能穩定、問題要多久才可以解決?」內政部長李鴻源也曾公開說:為了省錢,可能再花兩億都救不回來。他質疑,「內政部有人能夠交代為什麼要花兩億嗎?公帑從哪來?再花兩億,就可以讓新系統穩定嗎?」段宜康甚至揶揄的說,內政部從2月5日便對外宣稱,只需要微調就能恢復正常,為什麼微調了這麼久?都調了兩週仍然不行,還不如直接「砍掉重練」!

段宜康再次要求,內政部應該公開壓力測試報告、系統測試報告的結果。他不懂,「為什麼不敢公開?還是沒有做?是誰根本不顧報告內容,擅自決定在春節結束後就上線?」段宜康認為戶役政新系統上線至今,仍是不堪一擊,肯定禁不起駭客的攻擊。救援團隊還以犧牲資安的危險方法,只為求系統一時穩定。段宜康批評內政部罔顧國人個資安全,至今還是不當一回事!他質疑,行政機關到底有沒有從頭到尾,重新檢視一次新系統問題出在哪裡?




沒有留言:

張貼留言