立委憂國營事業背鍋 資安災難誰來扛

立委葛如鈞示警，數發部「雙憑證機制」存疑。圖／葛如鈞國會辦公室提供

立委葛如鈞10日針對中華電（2412）董事長簡志誠召開記者會反擊資安質疑一事作出迴應，他強調自己是中華電信16年的忠實用戶，也是一名關心資安、專業問政的立委。這次針對TLS憑證信任危機提出質疑，不是在搞對立，更不是在毀商譽，而是站在一位用戶、科技人與國會監督者的立場，希望政府正視問題。

中華電信董事長簡志誠在記者會中，將葛如鈞於記者會中模擬「刪除憑證」的示範，比喻爲「自己把身份證燒掉」。

對此，葛如鈞說明，這次示範是與資安專家共同協作，能夠預判會發生的真實場景，關乎政府網站在主流瀏覽器更新後，是否會被標註爲不安全。數發部說超前部署完成「雙憑證（雙證件）」機制，若中華電信發的身分證被燒掉了，TWCA發行的駕照就應該要能立刻補上，但結果完全無效。

葛如鈞指出，這個模擬不是虛構，而是真實呈現Mozilla火狐瀏覽器現在已經確認日期爲2025年4月15日以後發行的中華電信憑證的都不再受信任，這影響用戶瀏覽可能被詐騙釣魚趁虛而入、受騙上當。現在有一半的政府部會網站還在用中華電信憑證，其中「交通部」和「農業部」使用的，甚至正是4月15日以後發行的中華電信憑證。

另外，對於簡志誠記者會提到，憑證的本質與資訊安全乃至國家安全問題無關，葛如鈞認爲，Google全球「資安團隊」提出的問題，怎麼會不是「資安問題」呢？賴清德總統曾說「資安即是國安」，因此資安問題，就應該受到國安程度的重視。

葛如鈞重申，此次事件的主責機關應是數發部，數發部不僅監管不力、未善盡憑證政策之指導責任，更在出事之後急於卸責，甚至有人員私下表示信任憑證無法可管、無法可罰，讓整起事件從一個可預防處理的技術問題，演變爲國際關注的資安危機，而且一再有瀏覽器出來宣告不信任，之後可能還有更多。

葛如鈞表示，數發部若能及早盤點憑證部署情況、建立真正能夠雙憑證自動切換的雙鏈憑證系統，並協助各部會與公私單位完成轉換，就不會「信任崩壞」。核心問題並不是單一憑證技術問題，而是政府是否具備面對資訊風險的問責與治理能力。