國家資通安全研究院爆發內部人員涉嫌違規存取國家關鍵資安情

資安院主動通報展現內控機制有效性

國家資通安全研究院作為台灣資安核心機構，成立於2018年，隸屬數位發展部，專責國家關鍵基礎設施資安政策規劃、威脅情資分析與防禦系統建置。本次事件中，違規人員為資安院資深研究員，涉嫌在2024年1月20日至2月10日期間，未經授權存取「國家網路安全威脅情資平台」系統，包含潛在攻擊者IP地址、零日漏洞利用方式等國家級敏感資料。內部稽核小組透過系統日誌分析，發現異常存取模式（如非工作時間大量下載情資），當日即啟動緊急通報流程，院長張明華親自簽署書面報告提交調查局。此舉符合《資通安全法》第15條規定，要求資安機構發現異常應立即通報主管機關。調查局調取監控錄影與系統日誌後確認，違規行為屬個人操作，非外部入侵，院方主動處理避免情資外洩，維護國家安全。專家指出，資安院的反應速度（24小時內通報）遠優於業界平均，體現其內控機制有效性。過去五年，台灣資安事件中42%源自內部人員，但主動通報率僅35%，本次案例被視為典範，促使其他機構檢視內部稽核流程。院方表示，未來將擴大AI監控系統覆蓋範圍，實時分析員工操作行為，預防類似事件。

數發部強化資安監管與跨部會協調機制

數位發展部資通安全署署長王麗華在記者會強調，資安院主動通報符合法律要求，並展現高度責任感，將此事件列為「資安內控優化標竿」。署方立即啟動三項緊急措施：其一，要求全台32家資安相關機構（含政府機關與關鍵基礎設施單位）於2024年3月31日前提交內部稽核報告，並建立匿名通報管道，避免員工因恐懼而隱瞞異常；其二，推動「資安內控強化計畫」，規劃在2024年Q3前完成《資安機構內控標準作業程序》，明確規定資料存取權限分級（如機密資料需雙重審核）、稽核頻率（每季一次）及異常處理流程；其三，協調法務部調查局、國家安全局成立跨部會專案小組，針對本次事件進行刑事調查，並檢視全台資安單位系統漏洞。調查局指出，若查證違規者涉及故意洩密，將依《資通安全法》第41條處以50萬至500萬元罰鍰，並追究刑事責任。數發部同步檢討過去管理盲點，例如2022年某國防單位發生類似事件，因未主動通報導致資料外洩，本次事件促使署方加速修訂《資安事件通報指引》，要求所有機構建立「異常行為AI預警系統」。此外，數發部已與產業界合作，於2024年3月啟動「資安內控培訓營」，針對機構主管進行法律義務與管理實務演練，預計覆蓋500名關鍵人員。此舉不僅針對個案，更為台灣資安管理建立系統性防護框架。

行業反思與國際趨勢下的資安管理升級

業界專家普遍認為，此事件凸顯內部威脅是資安最大隱憂。台灣資安產業協會2023年報告顯示，45%的資安事件源自內部人員，其中30%涉及未經授權存取敏感資料，較2022年上升8%，反映管理漏洞日益嚴重。資安專家陳志強分析，「內部人員熟悉系統操作，威脅性遠高於外部攻擊，需透過技術與管理雙管齊下」。他建議企業採用「零信任架構」，嚴格實施「最小權限原則」，例如僅開放員工存取必要資料，並結合行為分析系統實時監控異常操作。國際比較方面，歐盟GDPR要求企業每季進行內控審查，美國CISA則強制關鍵基礎設施業者採用AI驅動的內控平台。台灣此次事件加速政府立法進程，數發部預計2024年Q4完成《資安內控法》草案，明確規範機構稽核義務與罰則。企業實踐上，宏碁宣佈將在2024年Q2完成全員資安認證，台積電強化資料存取審核流程，要求關鍵資料操作需主管雙簽。調查局表示，本次事件可能涉及過失，但若證明故意洩密，將依《個人資料保護法》第41條加重處罰。此外，事件也引發教育改革，數發部與國立清華大學合作開設「資安內控管理」課程，2024年將培訓1,000名專業人才。專家強調，資安管理已從「被動防禦」轉向「主動預防」，未來將整合AI、區塊鏈技術建立全鏈管理系統，提升國家整體資安韌性。此事件不僅是危機，更成為推動台灣資安文化與國際標準對接的關鍵契機。