早在去年九月,臺北市政府爆發公衛系統遭駭「百萬筆資料外洩」事件,於昨日(2日)公告調查事件結果。原本官方宣稱的百萬隱私個人資料經上修後達到近三百萬市民身份的機密個資遭駭客竊取。早先強調個資經加密處理,不用怕被看到姓名資訊的說法,也在這一份報告中不再提起,讓人質疑北市府是否為了不影響去年底的市長選舉而選擇粉飾太平?
去年事件發生時,衛生局主任秘書李碧慧曾指出,103年開發的健康雲系統以及104年開發的公共衛生資訊管理系統,都有針對資料庫個資進行加密處理,就算要下載,也看不到姓名等資訊。李碧慧表示公共衛生管理系主要是由慧智達科技股份有限公司負責,此次疑似是因為業者在相關網路平台安插後門植入木馬病毒。
根據臺北市政府衛生局最新說明,臺北市政府資訊局執行例行性資安檢核,於107年8月28日主動通知衛生局資訊系統遭不當存取,臺北市政府衛生局立即向國家資通安全會報技術服務中心進行資安通報,並協請調查局及臺北市政府警察局全力調查偵辦,經數月調查後,臺北市政府衛生局依個人資料保護法規定通知當事人如下說明:
本次事件經調查局調查,確認不當存取來源IP為境外,不當存取資料為北市97年戶政資料298萬餘筆,遭竊取個人資料包括姓名、生日、身分證字號以及地址等重要資料。
根據民國106年的台北市人口普查統計報告顯示,目前台北市人口總數共有2,683,257人。等於此次遭竊取的個資數量比起市民數量還多出30萬人次,幾乎可視為台北市全體民眾的身份已經都被詐騙集團所掌握。
臺北市政府衛生局在本次資安事件後續積極處理作為如下:
- 策略面包括增加資安經費與資安人力;
- 由資訊局協助衛生局將系統移至更安全的環境;
- 管理面包括持續擴大資訊安全管理制度驗證範圍;
- 加強資訊委外安全管理;
- 技術面包括強化資料庫及系統管理資安監控作為;
- 由資訊局協助提升衛生局資安預警能力;
- 加強系統縱深防禦;
- 完善資安監控作為,以快速回應資安事件,保護市民個資。
臺北市政府衛生局補充,依照政府資安分級辦理相關資訊安全維護工作,近年來努力推動資訊安全,除了成立資通暨個資安全推動組,進行資訊安全政策訂定及個人資料保護、資訊設備安全規劃建置,並對公衛資料庫個資加密保護、導入資訊安全管理制度(ISO/IEC 27001:2013),落實資訊安全及個資保護規範,並針對局內同仁定期舉辦教育訓練強化資安暨個資意識與認知,以建構安全的個資保護架構為目標。
根據暗網不具名的消息來源指出,台北市此次遭駭客竊取的 298 萬筆台北市民個人資料已經可以在地下網路交易市場上取得。臺北市政府衛生局及警察局再次提醒民眾,對於不明來電、簡訊、信件提高警覺避免被詐騙集團所騙,若有疑似詐騙疑義請撥打165反詐騙諮詢專線諮詢檢舉報案,或撥打110就近各警察機關檢舉報案,或撥打臺北市政府衛生局專線電話02-2728-7163轉3125陳先生或轉3143劉先生,共同維護資訊安全環境。
發佈留言