教部被駭 新北教育資料平臺藏隱憂

近期傳出教育部被駭導致資料外泄事件,新北市首創的「教育資料平臺」正式上路後,是否也有相關資安隱憂值得關注。(柯毓庭攝)

新北市教育局創立「教育資料平臺」,盼利用平臺將教育大數據化,目前仍在檢測階段,但近期傳出教育部國教署外包廠商維護的部分學校被駭客竊取資料,未來新北「教育資料平臺」正式上路後,資安隱憂令家長憂心。資安專家律師葉奇鑫則說,政府資安問題長期無解,短期建議機關應注重委外廠商品質並落實滲透性測試。

教育局指出,「教育資料平臺」將學習資料整合並分析,可以透過大數據的整合分析全市、各區、各校的區域應對,將數據精確展示,不僅能夠看到教育設備數量、預算金額,還可以執行學習分析,推動數位轉型與大數據辦學應用。

葉奇鑫認爲,臺灣政府資安大量委外,委外廠商品質常決定成敗,「這不是好事」,但長期來說政府對於資訊人員編制、經費都有限,私人企業資安人員開的薪資都是公家機關的3倍,加上年金改革等造成公務人員福利縮水,都是政府留不住資安人才的原因。

葉奇鑫認爲,短期來說,只能提醒政府儘量將資安維護外包給大企業負責,大企業愛惜羽毛、較不容易出事,另外即使預算拮据,資安也一定要編列滲透性測試預算,且滲透性測試不是解釋寬鬆、「找軟體掃一掃就過關」,應找駭客團隊攻擊來亡羊補牢,找出漏洞才能健全資安健檢。

針對資安疑慮,教育局迴應,每年度都會就各資訊科技相關計劃強化資安作爲,並協助各校添購軟硬體以落實資訊安全,若發生駭客,配合《資通安全管理法》應辦事項,依法於1小時內完成通報,36小時內完成損害控制與復原作業,並於1個月內提交調查、處理及改善報告。

新北市資訊中心主任陳富添則說,教育局屬於B級機關,防護都會要求其遵守《資通安全管理法》,另外新北資訊中心會站在第三方、跳脫市府立場去審視各機關是否做到依法規要求的措施,目前全市府資安承包商由新北資訊中心協助,都是委外給中華資安。