NCC 於6月10日公告「第二類電信事業管理規則 修正草案」,主要目的顯然是針對外界質疑,兩岸服貿議題開放二類電信危及資安與國安,企圖用複雜化的法律文字,來混淆民眾。 NCC 之前一直宣稱,服貿協議開放中資經營第二類電信業務,無損國家安全與資通安全。如果NCC之前說法為真,今日又何必修正二類電信管理規則呢? 而NCC 新修訂的管理規則,是否對於服貿協議開放的國安、資安衝擊,具有亡羊補牢的效果呢? 本聯盟在此鄭重聲明,答案是不行,相反的,這次修訂管理規則,不僅暴露NCC毫無捍衛國安資安的專業能力,更形同為中資量身打造逃脫條款,無異開門揖盜、引狼入室!
針對NCC此次修改二類電信管理規則,將危及國安資安的情況,本聯盟呼籲NCC不要一錯再錯,國安資安問題一寸都不能讓,堅決反對兩岸服貿協議以任何配套措施開放中資經營二類電信!國安資安絕對不是靠修改管理辦法、用法律文字設計三管五卡就能補救。理由闡述說明如下:
此次修改的部分有七點,其中修正條文第七條及第八條主要是對於「有危害國家安全或資通安全疑慮」之申請者對於第二類電信特殊業務及一般業務之申請程序及文件的說明。日前反服貿學運時,近七百位電機資訊學者專家連署反對開放第二類電信,連署的聲明指出開放第二類電信有國安及資安的問題。令人不解的是為何今日 NCC竟會允許「有危害國家安全或資通安全疑慮者」來申請第二類電信業務。按照NCC第七條及第八條的管理規則「應檢附資通安全防護與偵測設施自評測試報告及資通安全管理驗證合格證明文件」。 難道符合NCC的申請文件及程序,就能確保國家安全及資通安全不受危害? 從這點可以知道NCC 完全與技術脫節,不懂實務,才會訂出開門揖盜的管理規則。所有的資安防護機制及管理驗證程序,基本上都是針對外部威脅及攻擊。按照新修訂的管理規則,就如同家裡要找管家,強盜小偷都允許來應徵,只要符合程序及文件即可。NCC 這種作法,不啻公開引狼入室。
我們主張政府保護資安與國安之策略應採取事前預防而非事後補救,阻絕威脅來源於境外。利用表單文件控制方式,只能夠防止無心的疏失和個別零星的攻擊,對於已經有兩支有番號網軍的敵人,「61398、61486」,是完全沒有用處的。不然美國也不會正式起訴五名人在中國的解放軍軍官,以做為明白警示與中國網路戰爭中,美國的決心。二次世界大戰結束後,德國才知道,國家的加密器 Enigma ,完全被英國破解了,資安的問題,很多都是隱藏和難以察覺的問題,有威脅,就是要擋到國家門外,一但放任敵人進入家門,什麼管理的方法,都難以處理這些資安國安的滲透和破壞。
修正條文第三十一條之二,則是有關電信機房的進出規定,「不得允許有危害國家安全疑慮之人進入電信設備機房」。但是為何有危害國安資安疑慮者可以成為經營者呢? 管理辦法中,NCC 將電信主管機關的資安責任完全切割,彷彿與己無關。修正條文第三十一條之二、之三辦法中,「經國家安全或資通安全有關機關知會」,經營者不得允許有危害國家安全疑慮之人,「進入電信設備機房」及「進行資訊軟體設計、遠端系統連線維運及測試作業」。這些管理條文NCC自己根本做不到 (difficult to enforce), 只要找一個沒有記錄的人頭,國家安全或資通安全有關機關當然無從知會NCC,要在重要設備亂搞,植入後門程式,完全易如反掌。 NCC制定如此管理規則除了曝露對於其主管業務毫無捍衛國安資安的專業能力,所以需經其他機關知會,才會被動通知經營者。日後若出現國安資安事件,因為相關機關沒有知會,依照管理規則,NCC就無從通知經營者,可以作為自保卸責的藉口。
我們再次重申資通訊服務是國家關鍵基礎建設的神經系統,政府有責任與義務善盡管理保護之責,以維護國家整體安全與人民資訊使用與通訊之安全。NCC 修改管理辦法,無法捍衛台灣資安和國安。基於電信產業與電腦及相關服務業對國家安全及民眾資訊的敏感性, 我們反對服貿協議開放第二類電信產業與電腦及相關服務業,以維護國家安全。
開放二類電信與採購華為設備之文章與報導相關整理: http://tiny.cc/noict-news