針對財團法人公共電視基金會一年內發生遭勒索病毒攻擊,以及片庫資料遭誤刪高達 41 萬餘筆的重大資安事件,監察院於10日通過調查報告及糾正案文,糾正文化部與國家通訊傳播委員會(NCC)。
監委指出,文化部並未正視公視數位轉型及資安需求,也忽略公視長期以來資金及人力不足的問題。另外,對於國家通訊傳播委員會未及早發現公視在資訊安全管理制度(ISMS)管理的鬆散,監委也表示批評。
▌文化部未善盡督導職責 實在難辭其咎
公視於 2021 年 6 月發生遭勒索病毒攻擊事件,2022 年 2 月又發生新聞片庫系統資料畫面遭委外資訊維護廠商刪除。監察院的報告指出,公視的片庫有高達 41 萬餘筆資料遭誤刪。但是,公視在 3 月曾說明是,包含 2016 年至 2021 年共 10 萬筆資料遭誤刪,至今仍有 8 萬多筆新聞資料無法還原。
而針對公視短時間內出現數次重大疏失,監察委員范巽綠、賴鼎銘認為,文化部身為公視基金會的主管機關,忽視公視長期以來缺乏資金及人力的問題。由於資安經費及專業人力的長期不足,使得公視雖是資通安全責任最高級等級的 A 級機關,但無法落實相關規定。公視每年 9 億元政府經費中有 8 億元用於人事,餘額無法對於資安有進一步的維護。
再則,文化部也未積極推動「公共電視法」修法作業,讓公視增加資金收入。最後使公視內部管理難以有效進行,對於推動數位轉型及保障資安實有難度。因此監委認為,文化部並未盡主管機關的職責。
▌通傳會未能及早發現風險並督導改善
監委進一步指出,通傳會低估公視資料的重要性。通傳會身為通訊傳播領域關鍵基礎設施的目的事業主管機關,先是未警覺公視在資訊安全管理制度管理的鬆散,而後對於公視遭受勒索病毒攻擊事件,也未依規於時限內通報,事件發生後更直接同意通報為「第一級資通安全事件」,未考量此事件對於公視營運及文化資產的衝擊。
因此,監察院認為,通傳會未落實「新聞片庫系統列為普級」、「第三方稽核指出備份政策風險」、「委外作業管理鬆散」等多方面風險管理,未即時發現且改善,並導致造成後續多筆新聞資料遺失。最後認定通傳會作為主管機關的身分有缺失之處。
參考資料:
2022/11/11 監察院 公視於一年內,續發生遭勒索病毒攻擊及片庫資料遭誤刪高達41萬餘筆之重大資安事件,凸顯該會資通安全管理作業鬆散,主管機關對於公視資安經費及專業人力不足、資安管理制度鬆散等等問題,均未善盡督導職責,致使公視資安缺失迭生,有以致之,實均難辭怠失之咎,監察院提案糾正文化部及通傳會
新聞回顧:
2021/03/15 報呱 公視犯下低級錯誤 八萬筆珍貴資料遭刪恐救不回
