國安危機,政府用中國軟體不自知

作者 | 發布日期 2017 年 12 月 08 日 16:30 | 分類 科技政策 , 網路 , 資訊安全 line share follow us in feedly line share
國安危機,政府用中國軟體不自知


根據銓敘部資料,台灣政府資訊人力占比只有美國的零頭,外包的資訊服務標案,不但經常出包,還有許多使用了中國軟體仍不自知,能稱做科技大國嗎?

儘管所有人都不願承認,但台灣政府資訊部門普遍使用中國軟體的傳言,並非空穴來風!

網路流傳中國企業資源規畫(ERP)客戶關係管理(CRM)軟體大廠金蝶國際的轉投資公司、金蝶中間件一篇新聞稿,公開宣稱它做了不少台灣政府地生意:「金蝶中間件的客戶遍及中國、香港和台灣地區的政府、金融、電信、製造、能源、交通等行業,包括中國人民銀行、國家發改委、中國移動、香港亨達集團、台灣程曦等 2 千多家大型企業客戶。」

事實上,台灣的程曦資訊,在 2007 年買了金蝶程式碼做開發,抽換了底層通訊層後,重新組合包裝成一套客服系統和市民熱線話務系統,再用以承攬了許多台灣政府部會的軟體標案,包括內政部、經濟部、人事行政總處、移民署、台北市、台南市等,成為台灣公部門及公營事業客服營運(CRM)系統市占率最高的廠商。程曦董事長兼執行長黃士軍強調,雖然在展現層看到金蝶的程式碼,但是抽換過底層核心後,經過檢測是能確保資安品質的。

程曦用中資軟體開發
台灣公部門、金融、電信都用它

2014 年程曦獲得經濟部頒發的國家磐石獎,它也服務不少金融業的客戶,包括中國信託、國泰世華、兆豐商銀、第一銀行、中華郵政、華南產險。

「軟體有一層皮,直接操作是看不出來的,」經濟部政策評估辦公室前研究員、也是公民資訊開放平台 g0v 零時政府參與者江明宗指出,軟體主要看的是系統功能比率,若從程式碼端分析,便可看出程曦的產品有很大的比率是使用金蝶的程式,但重新打包後,就看不出來是中國的軟體。

「我的疑慮在於,金蝶的軟體過去曾出現過嚴重的資安問題,現在卻用以處理台灣民眾的個資。」江明宗以其政務幕僚的經驗觀察指出,隨著資訊系統普及,幾乎每個政府科別都有機會承辦系統開發案,但各單位都有資訊人力不足的狀況,連最基本的電腦與網路維運也找派遣人力,一旦承辦人員缺乏基礎資訊素養,接手的系統也就很容易會有資安漏洞。

嘉義縣智慧城市暨青年創業辦公室執行長王景弘進一步分析,中國開發的軟體並不是都不好,問題在於現在政府資訊人力沒有能力檢視原始碼,只能做到資訊標案表面功能層次的驗收。「今年我就看到至少 5 個專案有 SQL injection 隱碼攻擊,根本不需要靠中資程式碼就有很大風險了!」他認為,政府核心任務,應在於建立起對資訊專案的態度,以及專業守門人的驗收制度。

義美食品總經理、網擎資訊軟體公司董事長高志明對此一議題也感到相當急迫,10 月初,由他發起成立「台灣數位科技與政策協進會」,邀集叡揚資訊總經理張培鏞、和沛科技總經理翟本喬等數 10 位軟體業界產官學人士參與。高志明大聲疾呼,全球都在走向雲端化、智慧化發展,但台灣政府投資在資訊上的預算 1 年不到 200 億元,占中央政府總預算比率僅 1%,應加緊腳步,提出一套跟得上國際趨勢的資訊產業對策。

政府趕快想對策
資訊人力不足  外包風險高

張培鏞指出,國內公務員資訊處理職系占比只有 0.9%;反觀美國政府的資訊人力占比高達 6.9%,台灣連美國的零頭都不到,就很難有大破大立的政策格局。像是政府的陽光法案系統,其實只要透過資訊系統串接,監察院就可從銀行端取得稅籍與財產資料,公務員不用再透過手動申報,省去大量的文書處理,技術上沒有問題;但光是這麼簡單的一點,卻還裹足不前。

另一個衍生的負面影響則是,人力不足只好外包,反而產生更多弊端。11 月初,內政部資訊中心和移民署就爆出採購弊案,檢調懷疑內政部資訊中心主任施明德等人,利用任內承辦移民署入出境資訊系統等 7 筆採購案的機會,圖利電腦廠商,恐有高達數 10 名官員涉案。

高志明強調,在數位時代,資訊就是國力,但現在仍有不少政府高層只把資訊處當作支援性質的幕僚單位,農委會、外交部、國防部資訊主管甚至是非資訊本科系兼任,相當不合時宜。「就像早年房子的廚房很大,是為了要養活一家人,但現代人都是外食,廚房空間變小也沒關係;政府各單位的人力配置,就像是房子的隔間,也需要與時俱進、重新隔間配置。」高志明強調,「一言興邦、一言喪邦,我這句話,賴清德院長一定要聽進去!」

(本文由 財訊 授權轉載)