(記者王烱華/台北報導)毫無資安意識!負責國軍高科技武器研發的國家中山科學研究院,某一級主管因病休假10天,除了沒有向中科院資安長(中科院副院長林高洲兼任)完成報備程序,竟還將公務帳號、密碼直接給秘書使用,遭院內員工檢舉後,中科院卻以黃處理公務將帳密交給秘書使用,未涉及不法結案,遭批是調查、懲處「遇見高階長官就轉彎」。
中科院依國防部政策指導及各軍種建軍備戰需求,研發國軍制空、制海、國土防衛、資電網路、聯合指管情監偵及不對稱戰力等各式武器裝備,在日益升高的台海危機,研發武器、培育人才,對我國防安全扮演重要的角色。
不過,掌握我重要武器研發機密的中科院,卻屢爆資安危機,2018年時,中科院一名彭姓技術人員藉由職務之便,將中科院所研發的無人機、雄三超音速反艦飛彈等機密檔案下載到自己的資料夾,該員在被中科院停權調查期間,又利用同事電腦把資料夾刪除,遭檢方一審判刑8個月。中科院在2018年「網路儲存伺服器」的採購標案中,誤將中國「百度雲」放入備份公有雲端,引發中科院機密資料的資安危機,相關人員遭記申誡處分。
面對外界疑慮,中科院雖然一再強調加強管制資訊安全,但中科院系統維護中心一級主管黃明耀主任今年9月20日至30日向院方請病假開刀療養,但請假期間,黃明耀的系統帳號卻被登錄使用,經院內員工發現向院方檢舉,中科院卻以黃處理公務為由,將其帳號密碼交由祕書登錄使用,並以未涉及不法結案。
資安規定、職務代理規定如同虛設
根據國防部及中科院所訂頒的資通安全規定,資通安全「系統合法使用權限人員應善盡保管個人帳號及密碼,切勿交付他人使用」。另外,為避免人員休假造成重要任務延誤,中科院也訂有「國家中山科學研究院人員職務代理作業規定」,其中第三點規範:「本院各項職務應依下列作法,按職責、性質與工作內容,排定現職人員代理順序:一級主管:依職務代理原則,由現職一級副主管中排定三級代理順序;一級副主管現職人數不足三人時,自二級主管檢討遞補」。
依規定,系統維護中心主任職務代理順序,第一順位為副主任高振宇,第二順位是副主任吳建興,第三順位是副主任林海芬。而且依作業規定應於休假前交接好相關事務,並於休假期間由副主任代理業務執行,而非交由本身無接密等級之主任秘書進行業務代理。
因此,爆料人士質疑,黃明耀是中科院所列管的涉密人員,其私自將其帳號、密碼交由其祕書處理公務,即有違反國軍及中科院保密規定,但中科院卻是官官相護,案件調查也是「碰到高階長官就轉彎」,就是想要掩蓋事實。
一級主管帳密登入 機密全都露資安漏破口
事實上,中科院系統維護中心承接國軍及政府多項專案任務,相關資訊資料包含「密」級的「一般公務機密」或「營業秘密」。況且,黃明耀身為中科院一級主管身分,亦可能接觸包含「機密」等級以上資料,其帳號權限範圍相當廣闊,雖然中科院各項管理資訊系統確實均須透過實體憑證卡、指靜脈與密碼進行登入,但電子郵件信箱及存放專案資料之網路磁碟空間均不受實體憑證卡管控,只需以帳號密碼登入即可查閱專案資料及各項檔案。
爆料者質疑,黃明耀其將帳號、密碼交由無涉密等級的祕書使用,即可能造成中科院資安破口,甚至可能有機敏資料外洩的疑慮。
中科院在回覆《菱傳媒》詢問時指出,黃明耀主任囿於眼疾開刀休養期間,為避免延誤單位重要工作推行,授權單位同仁登入行政電腦查閱電子郵件及行程,以利及時下達指示及任務協調,並於銷假返院後即變更登入密碼,經查屬實。
中科院進一步指出,經相關權管單位審認,黃明耀僅授權單位同仁登入帳號查閱郵件及行程,其餘院內各項管理資訊系統均須透過實體憑證卡與密碼,認證登入後方可執行業務簽辦;尚無違反「資通安全獎懲作業規定」之虞。
至於黃明耀將行政電腦的帳號、密碼交付祕書使用,是否有向中科院的「資安長」完成報備,中科院則坦承,系統維護中心的資安長確實知道黃員請假,但黃員身為單位一級主管,其將帳號、密碼交由祕書使用並沒有向院級的資安長完成報備程序,未來中科院也會強化一級主官(管)的資安報備及審核程序。