公務電腦報廢採恢復原廠設定 北市議員憂機敏資料外流
臺北市議員戴錫欽。(本報資料照/鄭任南攝)
臺北市政府報廢公務電腦、手機前,須先行抹除資料,但北市議員戴錫欽質疑,市面上有許多資料還原軟體,能在單日內恢復上萬筆資料,現有12臺透過恢復原廠設定的報廢公務電腦,暴露在機敏資料外流的風險,他要求北市應加強報廢作爲。對此,臺北市長柯文哲允諾會研議辦理。
據《臺北市政府資通管理規定》及《臺北市政府資通訊資產及電子資料安全作業指引》,公務手機若轉贈、報廢和及銷燬或不再使用時,應先清除、刪除、加密消除其中電子資料或破壞儲存媒體,作法大致分爲實體破壞、硬碟機抹除及第三方刪除軟體。
戴錫欽指出,依公務手機資料抹除流程,若設備不堪使用將採實體破壞,當設備尚可使用時,須判斷系統內是否具高機敏性資料,若無就採恢復原廠設定,若有就透過第三方軟體抹除,但何謂不具高機敏性資料?由誰來認定?難道不會有便宜行事情況發生?
戴錫欽表示,經工程師實測,MAC和Windows系統電腦,皆可在恢復原廠設定後透過資料救援軟體,於5、6個小時內找回上千、上萬件資料;Andriod系統手機亦是如此,目前僅IOS系統手機無法救回遭刪資料。現階段包括公運處2臺、大地處5臺及文化局6臺等12臺公務電腦,都是以具資料外流疑義的方式抹除電腦硬碟資料。
他認爲,資料機密認定及抹除方式應從嚴認定,儘可能使用實體破壞、使用硬碟機抹除及第三方抹除軟體等刪除所有資訊,對於資料是否不具高機敏性,也應有明文規定和標準,加強資安控管。
對此,柯文哲允諾會研議辦理。北市資訊局長呂新科補充,當前市府資料將由各局處判定機密程度,若系統沒有再利用價值,將採較安全的實體格式化,反之若有賤價賣出或送至偏鄉使用需要則採邏輯格式化,就可能被救援系統救回來。他坦言,目前市面上有許多資料救援軟體,因此外泄風險確實存在。
北市財政局長陳家蓁強調,公家設備執行報廢時,均按規定去識別化及抹除資訊,後續將與資訊局研議提升防護作爲,避免資安問題。