监察院表示,10日通过监察委员范巽绿、赖鼎铭之调查报告,针对公视基金会一年内,连续发生遭勒索病毒攻击及片库资料遭误删高达41万余笔之重大资安事件,资通安全管理作业松散,核有违失,主管机关未能正视该会长期存在资安经费及专业人力不足、资安管理制度松散等等问题未严予监督,监察院提案纠正文化部及通传会。
监委调查发现,公视基金会于2021年6月发生遭勒索病毒攻击事件,复于2022年2月间,不到一年之时间,续发生新闻片库系统资料画面遭委外资讯维护厂商删除高达41万余笔,迄今尚有8万笔资料尚未复原之资通安全事件,引发外界訾议,除严重影响该会公信力,更凸显公视基金会资通安全管理作业松散,核有违失。
监委表示,而文化部身为公视基金会主管机关,不仅未能正视该会长期存在资安经费及专业人力不足之窘境,致使公视难以落实关键基础设施及资安A级机关之法遵要求,复对可有效增加公视财源之「公共电视法」修法作业,未能积极有效推动,导致公视每年接受政府捐助之新台币9亿元经费,人事费用即达8亿余元,仅足敷支应该会基本营运需求,遑论用以推动数位转型及保障资通安全。
此外,监委指出,公视基金会第七届董事会延宕组成达957日,致难以有效监督公视治理,故资安缺失迭生,有以致之,文化部显未善尽主管机关督导职责,实难辞怠失之咎,实有纠正之必要。
监委更进一步深入调查发现,通传会(所涉业务已移拨数位发展部)为通讯传播领域关键基础设施之目的事业主管机关,对于公视遭受勒索病毒攻击事件,未依规于时限内通报之失,竟未警觉公视在资讯安全管理制度(ISMS)管理之松散,复对公视数位新闻片库资料画面,遭委外资讯维护厂商全数删除之资通安全事件,竟低估公视片库资料重要性,除事前对公视「新闻片库系统列为普级」、「第三方稽核指出备份政策风险」及「委外作业管理松散」等潜在风险,未能及早发现并积极督导改善。
监委说,事件发生后,亦未能考量本案对公视营运及文化资产之冲击,率尔同意通报为「第一级资通安全事件」,显未善尽「资通安全法」、「资通安全事件通报及应变办法」及「国家通讯传播委员会所管特定非公务机关资通安全管理作业办法」等法定职责。
监委表示,这些作为将置国家「关键基础设施」(CIP;Critical Infrastructure Protection)于高风险之中,足征公视或通传会均仅站在媒体播送功能角度思考而赋予关键基础设施及资安责任等级A级机关之法遵,却未认知到内容之重要性,核均有疏失,纠正通传会,因该会案涉业务已移拨数位发展部,请该部续处相关事宜。
监委最后强调,公视长期存在为人诟病的组织文化,使营运效率不彰、从业者之价值观只能升不能降的薪资结构、劳逸不均、薪资落差、组织僵化及欠缺公众问责机制等问题,凸显该会不但在资安层面无法因应现今资通安全威胁及符应资安防护需求外,在人事管理、公司治理及问责机制等议题上,亦有更深一层检视评估并积极改善之必要。
★快点加入《壹苹》Line,和我们做好友!
★FB按赞追踪《壹苹新闻网》各大脸书粉丝团,即时新闻到你手,不漏任何重要新闻!