故宮爆出去年6月因工作人員疏失,被有心人士使用軟體,讀取「故宮Open Data專區」局部圖檔後加以拼接成高階大圖,放上淘寶網、書格網平台,以新台幣10幾元賤賣。故宮院長蕭宗煌今(22)日表示,「無心之過比駭客入侵還嚴重」,並承諾立委范雲,於1個月內提資安檢討報告,並研究國外博物館開放圖檔與商業機制如何平衡。

我是廣告 請繼續往下閱讀
立法院教育及文化委員會今天考察故宮資安防護機制,故宮說明圖檔管理、事件檢討措施及資安防護,並操作圖像調檔系統。

蕭宗煌致歉並說明,當初為了將數位典藏公開化,數位資訊室林姓承辦人「求快心切」,想加速40萬張高階圖檔,降階為600萬畫數圖檔,放在「故宮Open Data專區」公開,但執行過程中資料量過大,造成主機容量滿載,效能變差,故承辦人員將資料移至對外服務主機儲存設備上(一般民眾在Open Data專區看不到,但有心人士運用科技可取得),進行程式自動化降階處理,讓外部人士有接觸機會,進而取用,雖然該名承辦員有設定進能下載150萬畫數限制,但有心人士仍利用工具軟體接觸,以局部擷取的方式拼湊出高階大圖。

蕭宗煌說,根據同仁在網路上海撈到的高階大圖約1000至2000筆,但林姓承辦人經手過約有10萬筆圖檔被瀏覽,不排除有心人士手中還有更多高階圖檔尚未公開。

故宮數位資訊室專門委員陳中禹指出,Open Data是國際趨勢,因應外界期許,希望故宮能提供更高解析度數位典藏資源供各界運用,因此故宮決定111年底逐步開放600萬畫數中階文物圖檔40萬筆,林姓承辦人於前年底進行轉檔作業,在降轉檔案時發生人為疏失,故宮於去年6月14日獲通報,書格網站提供「南薰殿帝后半身像冊」高畫質數位圖檔免費下載,便立即下令移除對外服務主機儲存設備上的相關圖檔,並清查系統,發現無相關被入侵軌跡與安全性風險。

陳中禹說,清查可接觸高階圖檔的存取紀錄、同仁申請高解析度圖檔下載紀錄等,皆無發現內部外流;最後利用程式比對110年12月20日起至111年6月14日「對外服務主機儲存設備」,發現部分存取紀錄規律,非屬人為瀏覽模式,而是透過圖像互通交換機器,規律瀏覽10萬筆,有心人士擷取局部圖檔,經拼圖軟體,拼湊成高階圖檔。

對於事後行政調查,故宮在去年6月中旬口頭報告院方並啟動資訊清查作為,7月簽呈相關調查及改善防制做法,8月啟動行政調查,今年1月3日,認定該名承辦人涉及處理業務不當行政疏失,1月19日數資室檢討責任,簽呈建議懲處申誡1次,並交由專業人員考核會於2月16日審議通過並經核定。

後續數位發展部在3月通知故宮,該事件引發新聞爭議,應進行資安通報,故宮才於3月14日補行資安通報;3月17日故宮律師發函書格網、淘寶網,要求將相關分享或商品頁面下架,後續也會配合檢調提供各項資訊紀錄資料。

針對本次事件的檢討措施,陳中禹表示,將強化同仁資安訓練,要求落實資安稽核及通報程序;強化資安籍資料保護;盤點數位圖檔進行風險評估;完善系統自動化,阻絕人為疏失與風險。

范雲質疑,故宮從去年6月知悉此事,卻拖到今年3月14才進行資安通報,資安定義與數位部不同;今年3月17日才請律師處理,速度太慢;故宮人員資安知識不足,屬系統性的失誤,請故宮在2週內提相關檢討報告。另外,要在1個月內研究國外博物館遇到類似案件時如何處理,怎麼在開放圖檔與商業機制間取得平衡。

會後媒體詢問,林姓承辦人進行轉檔作業時,將10萬筆資料暴露長達半年,卻無人發現?

蕭宗煌回應,林姓承辦人沒有預期到會如此,原本設定只能部分瀏覽、供150萬畫數下載,沒料到資訊人士運用科技、程式去抓圖拼貼,但有時「無心之過比駭客入侵還嚴重」,目前抓不到是誰進入系統截圖拼貼,6月接獲通報就進行後續處理了,另外,林姓承辦人將圖檔移置「對外服務主機儲存設備」時,理應進行申請,卻沒有這麼做,主要是這方面有所疏失。

對於高階圖被賤賣,是否對故宮造成損失?蕭宗煌說,「故宮Open Data專區」僅開放100萬畫數及600萬畫數圖檔,採創用CC授權,做海報、文創商品等商業利用皆不限制,只要採圖片一部分、沒有掛上故宮logo,本來就能自由取用,但故宮目前並未授權千萬畫數圖檔,若以拼貼方式取得高清圖檔,還打著故宮名號、掛上logo販售,就屬侵權,就是目前請律師針對淘寶等平台,提出智財權受損、並要求下架的部分。