制度漏洞：數發部不作為 百萬家公司資安只靠八人扛

頻頻淪為駭客目標的中小企業，急需政府協助。但數發部卻稱，民間企業資安由「各主管機關」負責，加上缺乏穩定預算，恐讓中小企業資安淪為三不管地帶。

撰文‧陳子萱

在台灣，中小企業遭駭客勒贖的現象，早就不是新聞。

前國家安全會議諮詢委員李漢銘曾在某大學校友會的理監事聚會中，詢問二十幾位同是中小企業主的理事們：有沒有被駭客攻擊過？「結果，有近半的人都向駭客付過贖金，只是大家都不敢講。」雖然這些老闆掏出的金額可能不高、頂多幾千美元； 然而， 這些中小企業若是政府機關、軍工產品供應商， 或是關鍵產業供應鏈的一環， 資安破口不可等閒視之。

根據美國知名勒索軟體分析機構Coveware今年第二季的最新報告， 在勒索軟體的攻擊目標裡，有高達六四％屬於員工數十一人至一千人間的中小型組織，因為駭客就是看準中小企業的薄弱防禦力；相較之下，員工逾二．五萬人的大型企業，僅占勒索攻擊總數的八％。

▲前行政院「國家資通安全會報技術服務中心」在2023年改組為行政法人「資安院」，由時任總統蔡英文（左4）揭牌。中央社

駭客掃射「公司愈小衝擊愈大」

實際上，經濟型駭客常見的攻擊手法，就像「拿槍掃射」，廣發惡意病毒。大公司還有堅實城牆可以抵禦，但缺乏資安防護的中小企業，宛如拿著紙糊的盾牌，只要被駭客掃射到，幾乎只有「中槍」的份。

而中槍之後，小企業的「存活率」，恐怕比想像還低。

「愈小的公司，駭客帶來的衝擊是愈大。」KPMG安侯企業數位安全顧問服務部副總李冠樟記得，幾年前，有一家約二十人的小廣告公司，因為缺乏資安防護，就曾遭受駭客勒索軟體的攻擊，導致電腦停擺、檔案打不開，公司又付不出贖金給駭客解鎖，加上平時沒有備份重要資料，沒想到短短三個月後，公司就以倒閉收場。

▲資安院在2024年接手營運TWCERT/CC，盼強化資安的公私聯防機制，並輔導民間企業資安。取自資安院網站

各部會踢皮球 放任民間資安

境外駭客來勢洶洶，相較於上市櫃公司具備資安團隊、有經費投入資安防護，國內逾一六七萬家、占整體企業九八％以上的中小企業，自保能力相對薄弱，尤其需要政府的輔導協助。然而在目前政府編制、預算不足之下，國家恐怕難以成為中小企業的後盾。

二○二三年九月，經濟部工業局、技術處升格後，將「資安產業」的發展及「企業資安輔導」等業務，移交給數發部。但數發部接手後，與資安最相關兩個單位中，數位產業署僅掌管「資安產業」，資通安全署則將重心放在「公務機關」、「關鍵基礎設施」等《資通安全管理法》（以下稱《資安法》）適用對象。

數發部也對本刊說明：「一般民間企業、中小企業各有其目的事業主管機關，其資安事項亦由其主責。」例如，金融業資安主管機關為金管會、醫療業資安主管機關為衛福部等。

最後，一六七萬家中小企業的資安輔導，實際落在數發部的行政法人──國家資通安全研究院（以下稱資安院）的肩上。

看在專家眼裡，部會間互踢皮球，是放任中小企業的資安淪為三不管地帶。

從法源來看，翻開《數位發展部組織法》，第一條開宗明義就指出，數發部的職責之一是：「協助公私部門數位轉型等相關業務。」換句話說，屬於「私部門」民間企業的數位防護、資安提升，本來就是數發部的職責。

不只是組織法，元智大學資訊管理系專任助理教授、前國安會專門委員王仁甫進一步指出，在賦予機關職權的作用法裡，《資安法》同樣在第一條就闡明：「為加速建構國家資通安全環境……，維護社會公共利益，特定本法。」

「什麼叫做公共利益？一般企業或中小企業的資安輔導，難道不應該包括在內嗎？」王仁甫直言，數發部除了負責公部門及關鍵基礎設施的資安，也應積極提出中小企業資安的防護措施。如此一來，才能避免像中小型電商、關鍵製造業，因資安事件導致個資或機敏資料外洩。

今年八月底，立法院通過《資安法》修正草案，除了加強公務機關及關鍵基礎設施的資安義務之外，在第四條更增訂政府應「協助民間處理、因應及防範重大資通安全事件」，是首次確立政府協助民間資安的法源依據。王仁甫認為，母法寫清楚後，就應進一步訂定子法，提出民間資安防護的獎勵補助、資安輔導進駐等機制，「建立法體系後，就要開始往下做。」

預算不足 資安院連經費都得自籌

法源只是第一步，接下來如何讓資源到位、接軌企業才是挑戰。不過李漢銘先道破一項殘酷事實，「目前國內還沒有任何一筆預算，是專門來協助中小企業的資安防護。」

對此，數發部也證實，雖然數產署每年向國科會爭取科技專案預算，協助產業提升資安防護能量，資安署每年也爭取預算，協助國內企業資安應處和人才培育；但兩機關的相關計畫，都無固定預算，遑論專門協助中小企業。

而協助中小企業資安輔導的資安院，過去僅是行政院資安處下的技術單位，長期以來的重點是政府資安。直到二三年改組為行政法人，並在二四年接手營運TWCERT/CC後，才陸續開始著手民間企業資安。

「但現在資安院想做民間資安，才發現資源完全不夠。」一名資安官員感嘆，資安院在二四年輔導中小企業的預算僅約一千萬元，且並非每年固定編列，這讓資安院還得向外部申請計畫、自己籌錢。

翻開資安院二五年預算書，專門協助中小微企業、或其他資源有限之民間組織資安輔導的「NICS台灣資安計畫」，年度預算一七五○萬元，就是向美國谷歌的資助基金會申請而來的自籌經費。

另外有關中小企業的資安事件應處，則被放在資安院的「政府資通安全防護工作執行計畫」下，雖由政府編列預算二．七九億元，但協助民間企業應變，只是七大項目之一「強化TWCERT/CC」裡的一個子要點。

資安院不只沒錢，還缺乏人力。在目前資安院約二三○名員工裡，專責中小企業資安的人力，僅約八名，潛在的服務對象卻是一六七萬家中小型公司；但官員指出，若參考國外作法，合理編制至少是二十五人，才足以因應民間企業需求。

然而，資安院終究屬於行政法人，不論經費資源或行政效力皆有限。實際上，作為資安主管機關的數發部，早就可以透過既有資源，積極為中小企業資安做好預防。

應學醫療偏鄉服務 助小公司定檢

李漢銘建議，數發部、經濟部中企署應該合作，替中小企業「定期檢測」，查看軟硬體設備的資安是否亮了紅燈。他比喻，這就像在做醫療的「偏鄉服務」，國內有不少缺乏醫療資源的鄉鎮，政府很難把所有經費都砸在小村落，但仍可定期派出醫療隊進駐，幫學童看牙齒、為居民健康把關，中小企業的資安健診也是如此。

此外，數發部還應更積極協助中小企業「長期監控」軟硬體設備的資安狀況，未來當特定系統出現資安漏洞，政府就能及時通知業主，協助聯防，建立安全的供應鏈體系。

而若補足經費與人力後，王仁甫則認為，數發部可以委託資安院，針對民間企業建立「短期派駐輔導」機制，當缺乏資源的中小企業遭駭客攻擊，資安院可派駐專業人員至企業內，協助事後應變和修補，避免企業通報後仍無所適從。

協助中小企業打造資安城牆的重擔，不該只落在資安院八個人的肩頭，數發部沒有袖手旁觀的本錢，必須拿出具體作為，強化邊陲要塞的防護力。

TWCERT/CC
台灣電腦網路危機處理暨協調中心，提供會員最新的駭侵情報，並協助應處資安事件。

資安署長蔡福隆：政府主動性將再提升

「我們當然希望輔導中小企業資安，未來也盼分階段逐步推動。」資安署長蔡福隆接受本刊專訪時強調，在扶持中小企業資安上，近期已在法源和具體措施上有所進展。

▲蔡福隆表示，目前正在與經濟部洽談合作，盼提升中小企業的資安防護。攝影·蕭芃凱

《資安法》修正案在8月底通過，確實替政府輔導民間資安建立法源基礎。蔡福隆指出，過去因缺乏明確法律授權，對政府機關來說，協助處理私部門資安問題存在疑慮。修法通過後，當民間企業遭駭、且缺乏技術資源時，在企業同意下，數發部資安署、資安院就能為民間做數位鑑識、資安防護建議等措施。蔡福隆說，「政府的主動性將再提升。」

至於中小企業的資安輔導，資安署也正展開跨部會合作。蔡福隆表示，資安署將主動向經濟部洽談，研擬在經濟部既有的補助計畫裡新增「資安元素」。當企業申請相關計畫時，若有達到資安防護水準，可視為加分項目，以鼓勵傳產、中小企業落實資安。（陳子萱） 閱讀完整內容