公視基金會連續重大資安事件 監院糾正文化部、NCC

監察院。(本報資料照片)

針對財團法人公共電視基金會一年內,連續發生遭勒索病毒攻擊及片庫資料遭誤刪高達41萬餘筆之重大資安事件,監察院指出,公視基金會資通安全管理作業鬆散,主管機關未能正視該會長期存在問題並未嚴予監督,監察院10日通過監委範巽綠、賴鼎銘之調查報告及糾正案文,糾正文化部及通傳會(NCC)。

監委調查發現,公視基金會於110年6月發生遭勒索病毒攻擊事件,111年2月,在不到一年時間內,又發生新聞片庫系統資料畫面遭委外資訊維護廠商刪除高達41萬餘筆,迄今尚有8萬筆資料尚未復原的資通安全事件,引發外界訾議,嚴重影響該會公信力,更凸顯公視基金會資通安全管理作業鬆散,核有違失。

監委指出,文化部身爲公視基金會主管機關,不僅未能正視該會長期存在資安經費及專業人力不足之窘境,致使公視難以落實關鍵基礎設施及資安A級機關之法遵要求,對於可有效增加公視財源的「公共電視法」修法未能積極推動,導致公視每年接受政府捐助之新臺幣9億元經費,人事費用即達8億餘元,僅足敷支應該會基本營運需求,遑論用以推動數位轉型及保障資通安全。

另外,公視第七屆董事會延宕組成957天,導致難以有效監督公視治理,故資安缺失不斷髮生,文化部明顯未善盡主管機關督導責任,難辭其咎。

2位監委深入調查發現,通傳會(所涉業務已移撥數位發展部)爲通訊傳播領域關鍵基礎設施目的事業主管機關,對於公視遭受勒索病毒攻擊事件,未依規定於時限內通報,竟未警覺公視在資訊安全管理制度(ISMS)管理鬆散,對公視數位新聞片庫資料畫面,遭委外資訊維護廠商全數刪除之資通安全事件,竟低估公視片庫資料重要性,除事前對公視「新聞片庫系統列爲普級」、「第三方稽覈指出備份政策風險」及「委外作業管理鬆散」等潛在風險,未能及早發現並積極督導改善。

另於事件發生後,亦未能考量本案對公視營運及文化資產衝擊,率爾同意通報爲「第一級資通安全事件」,顯未善盡「資通安全法」、「資通安全事件通報及應變辦法」及「國家通訊傳播委員會所管特定非公務機關資通安全管理作業辦法」等法定職責。

監委指出,這些作爲將置國家「關鍵基礎設施」於高風險之中,公視與通傳會僅站在媒體播送功能角度思考而賦予關鍵基礎設施及資安責任,並未認知到內容的重要性,核有違失,糾正通傳會,因該會案涉業務已移撥數位發展部,請該部續處相關事宜。

監委表示,公視長期存在爲人詬病的組織文化,使營運效率不彰、從業者價值觀、只能升不能降的薪資結構、勞逸不均、薪資落差、組織僵化及欠缺公衆問責機制……等問題,凸顯該會不但在資安層面無法因應現今資通安全威脅及符應資安防護需求外,在人事管理、公司治理及問責機制等議題上,亦有更深一層檢視評估並積極改善必要。