▲故宮近來發生高階圖檔外流爭議。(圖/資料照)
記者林育綾/台北報導
台北故宮高階圖檔外流事件,近來鬧得沸沸揚揚,今(22)日立法委員至故宮考察資安防護機制,由故宮報告事件始末。由於資安事件照規定需要在事發1小時內通報,不過故宮經過9個月才進行通報,故宮說明,由於認定並非典型駭客事件,表格上找不到對應可勾選項目;後來經與唐鳳政委建議,才以「其他」案件來做通報。故宮院長蕭宗煌也認,「行政疏失有可能比駭客入侵更嚴重」。
▲故宮針對圖檔管理事件爭議進行報告。(圖/記者林育綾攝)
故宮人員今報告圖檔外流事件始末,由於OPEN DATA是國際趨勢,故宮當時計劃在110年底完成開放100萬畫素圖檔40萬頁,111年底開放600萬畫素圖檔40萬頁。當時承辦人員在處理過程中,使用自行設計的自動化降階軟體處理;不過因資料量過大,主機容量滿載導致效能變差,為了求快,便將資料移至對外服務的主機儲存設備上,繼續進行降階,導致被外部人士擷取。
去年6月14日故宮接獲通報,中國大陸的「書格網」提供了故宮的高階畫質圖檔免費下載,經查證確實是台北故宮的高階圖檔,故宮當時立即下令,將對外伺服器的高階圖檔移除;同時檢查系統是否被入侵,所幸並無入侵軌跡及安全風險。
▲去年6月14日故宮接獲通報,中國大陸的「書格網」提供了故宮的高階畫質圖檔免費下載。(圖/記者林育綾攝)
故宮當時調查,高階圖檔並無從內部外流情事,而分析軌跡記錄發現,是有心人士經由開放方式,擷取局部圖檔,再利用軟體以拼圖原理,拼湊出接近高階的原圖,因此不能說是典型的「被駭」。
故宮政風單位在去年8月啟動調查,至今年1月認定,該承辦人員將高階圖檔移動至可對外服務連接的儲存設備處理作業,確實涉及處理業務不當行政疏失,懲處申誡。
▲故宮分析軌跡記錄發現,是有心人士經由開放方式,擷取局部圖檔,再利用拼圖原理,拼湊出接近高階的原圖。(圖/記者林育綾攝)
蕭宗煌今日對大眾道歉,並說明,不能說該人員是「求好心切」,但確時是「求快心切」,導致外界有機會擷取。如今也告訴同仁們,不要一時貪快,後續故宮也針對資安加強教育訓練及觀念,並完善系統,可避免相關情事再度發生。他也說,「行政疏失有可能比駭客入侵更嚴重」。
至於「資安通報」原規定要在事發1小時內通報,但為何此事件從去年6月發生,到了今年3月14日才進行資安通報?立委范雲也提出質疑,故宮對資安的定義是否不同?同時此事件也能看出,故宮的反應包括請託律師行動都有些過慢。
故宮說明,原先認定這並非典型的駭客事件,在資安通報的申請表格上,也找不到可勾選的類別。數位部通知故宮此事件引發新聞爭議,應進行資安通報,因此故宮在3月14日補行資安通報。
▲▼故宮針對圖檔管理事件爭議,報告調查始末、後續處置。(圖/記者林育綾攝)
故宮律師也在3月17日發函給書格網、淘寶網,要求相關分享及商品頁面下架。後續故宮也將配合檢調,提供各項資訊紀錄資料。
蕭宗煌表示,自己從1月上任初期,沒聽同仁特別報告此事,原先對事件始末並不清楚;不過如今檢討,也認為故宮處理確實反應過慢,承諾未來故宮的問題,都可以坦誠面對,不辜負外界對故宮的期許。
范雲也要求故宮,針對資安認定、律師行動、文創商品授權等,提出後續詳細書面報告。
讀者迴響