故宮多年來宣稱要數位轉型、成為「數位故宮」,並將更多數位典藏公開化,沒想到卻因人為疏失,讓高階國寶圖檔於網站上賤賣,且事發後延宕9個月,經媒體在今年3月大肆報導後,才進行資安通報、請律師提告,資安觀念、後知後覺的處理方式令人堪憂。

我是廣告 請繼續往下閱讀
故宮在疫情之前,禮品部1個月的收入,就高達2000萬元,而去年的文化創意資產授權金,也高達1000萬元,故宮很大收入來自於文物的周邊商品,但日前爆出去年6月因工作人員疏失,被有心人士使用數位工具、軟體,讀取「故宮Open Data專區」局部圖檔後加以拼接成「未對外授權」的高階大圖,放上淘寶網、書格網平台,以新台幣10幾元賤賣,若被拿來轉印成文創商品等,恐傷及故宮文創營運、損失授權金。

如此嚴重、有失故宮形象的事件,相關處理卻慢半拍,包括失職人員從110年12月20日把圖檔放在對外的儲存設備上,直到111年6月14日,故宮才獲通報,書格網站提供高畫質數位圖檔免費下載,長達半年的時間,故宮內部都沒有人發現隱藏的資安危機。

再者,故宮在去年發現高階圖檔外流事件,沒有依法在1小時內進行資通安全事件的通報,而是今年3月被媒體報導後,數位部通知故宮,該事件引發新聞爭議,應進行資安通報,故宮才於3月14日補行資安通報;而直到3月17日故宮律師才發函書格網、淘寶網,要求將相關分享或商品頁面下架。

對此,故宮新院長蕭宗煌坦言,自己是在今年1月31日就任,同仁進行業務簡報時,沒有細提此事,後來才知道數位部有通報機制,詢問同仁為何沒通報,同仁說這起事件非典型駭客事件,在資安通報表上,找不到欄位可填,才認為非資安事件,後續他問了數位部長唐鳳,才知道用「其他」方式填寫。

對於採取法律行動緩慢,蕭宗煌承認:「的確是太慢了!」因為當初認定這不是被駭客入侵,圖片擷取方式是放在公開區域,沒料到有心人士可以用數位軟體、系統,讀取圖檔、拼貼成未授權的高階大圖,超越原先網站開放的600萬畫數。 

故宮在去年6月即發現高階圖檔外流,拖了9個月,被媒體報導後,才進行資安通報、採取法律行動,從院長的回應中,可以看出交接大有問題,同仁沒有細提此事,是想隱匿不報嗎?以及相關人員便宜行事、對資安觀念嚴重不足,甚至不清楚數位部業務、資安通報機制,在資安通報表上,找不到欄位可填,也沒有更積極地再去詢問,由此也能看出政府部門資安素養的不足,數位部應就此機會,協助各部門理解資安定義與狀況。

針對高階圖檔被賤賣,恐傷及故宮文創營運、損失授權金,蕭宗煌表示,開放圖檔是世界博物館趨勢,也經常牽涉到智財論戰,會審慎面對Open Data趨勢與故宮文創商品延伸性利益,該如何兼顧。

另外,故宮去年發生摔破國寶事件、此次又發生高階圖檔被賤賣,大傷故宮形象,但每次都是等媒體報導後,故宮才被動、「擠牙膏式」的說明狀況,等媒體、立委一一逼問後,才逐漸揭露更多訊息,資訊不夠公開透明、對外說明又牛步,才會屢屢被扣上「隱匿」的帽子,經歷過這些事件,奉勸故宮切勿再以鴕鳥心態面對失誤。