[科技快訊]

第一階段：去行銷化與事實摘要

核心技術： 數發部資安署公布2025年公務機關資安事件通報統計與分析，並針對常見駭客入侵手法提出防護建議。

關鍵突破： 2025年公務機關通報資安事件共726件，較2024年減少29件。事件等級以1級（影響程度最輕）最多，佔87.33%。資安署分析了2025年政府機關資安事件通報案例，歸納出五大資安威脅，並提出相對應的防護建議，包含：
1. 防範偽冒通訊軟體：建立軟硬體及應用程式安裝的申請與審核機制。
2. 防範勒索軟體：定期執行網站漏洞掃描與修補，導入網頁應用程式防火牆，建立端點防護機制。
3. 加強供應鏈安全：訂定供應商安全管理規範，定期執行資安稽核與合規檢查。
4. 強化網路邊緣設備安全：採用白名單策略，封鎖非必要通訊埠，建立韌體更新與驗證流程。
5. 防範社交工程攻擊：導入電子郵件過濾與沙箱檢測機制，限制雲端硬碟共享權限，啟用檔案上傳掃描機制。

應用場景： 適用於所有公務機關，旨在提升政府部門的整體資安防護能力。

主導者： 數位發展部資安署。

第二階段：社會影響力與倫理評估

1. 影響力總體定調

產業升級 / 潛在倫理風險： 此新聞反映政府部門對於資安的重視，並試圖透過統計分析與防護建議來提升整體資安水平。然而，過度強調技術防護，可能忽略了人為因素與潛在的隱私權風險。

2. 關鍵影響分析（舉證）

• 「使用者在設備汰換或取得新電腦後，不慎自非官方網站下載偽冒通訊軟體，導致電腦遭植入後門程式。機關應建立資通系統變更管理與下載控管機制，要求軟硬體及應用程式安裝須申請與審核。」
  • 【涉及層面】： 勞動就業、隱私權利
  • 【社會衝擊分析】： 表面上是為了防止惡意軟體入侵，但實際上可能增加公務人員的工作負擔，降低工作效率。更重要的是，如果審核機制不夠透明或缺乏監督，可能導致權力濫用，甚至限制公務人員的資訊獲取自由。此外，為了確保下載的軟體是官方版本，機關可能需要蒐集更多的使用者資訊，這也可能侵犯公務人員的隱私權。
• 「供應鏈管控疏漏，系統維護廠商於網站主機上安裝遠端桌面軟體，遭駭客暴力破解密碼登入機關網站。資安署表示，機關須訂定供應商安全管理規範，如存取權限控管、資料保護措施、漏洞管理流程及事件通報等，並定期執行資安稽核與合規檢查。」
  • 【涉及層面】： 勞動就業、貧富差距
  • 【社會衝擊分析】： 加強供應鏈安全管理，看似合理，但實際上可能增加小型系統維護廠商的經營成本，甚至將其排除在政府標案之外，導致市場壟斷，加劇貧富差距。此外，過於嚴格的規範可能導致行政成本增加，最終轉嫁到納稅人身上。
• 「社交工程攻擊並結合雲端服務濫用，導致資料外洩風險。資安署指出，機關應導入電子郵件過濾與沙箱檢測機制，攔截惡意附件與連結；另限制雲端硬碟共享權限，啟用檔案上傳掃描機制，對雲端連結進行安全檢測，避免惡意檔案散布。」
  • 【涉及層面】： 隱私權利、人類行為
  • 【社會衝擊分析】： 導入電子郵件過濾與沙箱檢測機制，雖然可以降低社交工程攻擊的風險，但也可能導致誤判，影響公務人員的正常工作。更重要的是，限制雲端硬碟共享權限，啟用檔案上傳掃描機制，可能侵犯公務人員的隱私權，使其對於使用雲端服務產生疑慮，甚至影響其工作效率。此外，過度依賴技術手段，可能讓公務人員忽略了自身的資安意識，反而更容易成為社交工程攻擊的目標。

3. 盲點與反思

• 人為因素： 新聞稿中，雖然提到了駭客入侵的手法，但對於公務人員的資安意識與訓練卻著墨不多。實際上，許多資安事件都是由於人為疏失所導致的。因此，除了技術防護之外，加強公務人員的資安教育與訓練，提升其資安意識，才是更根本的解決之道。
• 資料治理： 新聞稿中，雖然提到了資料備份、備援及復原功能，但對於資料治理的議題卻隻字未提。實際上，資料治理是確保資料安全與品質的關鍵。政府機關應該建立完善的資料治理機制，明確資料的蒐集、儲存、使用與銷毀流程，確保資料的安全性與合規性。
• 透明度與問責： 新聞稿中，雖然提到了資安事件的通報，但對於事件的調查與問責機制卻缺乏說明。實際上，建立透明的資安事件調查與問責機制，才能有效遏止資安事件的發生，並提升政府部門的公信力。

參考閱讀

,中央社 ・ 3 小時前