國立故宮博物院10萬筆2千萬畫素的高清圖檔2022年6月外流,疑被放上中國淘寶等購物網站賤賣,事發9個月遭媒體揭露後才進行資安通報。立法院教文委員會22日赴故宮考察,故宮院長蕭宗煌說明原委,表示此案為內部人員行政疏漏,非遭駭客入侵的資安事件。
故宮簡報時指出,這批圖檔外流時間是在2022年2月至6月,故宮於同年6月14日獲報,書格網站提供故宮「南薰殿帝后半身像冊」共1千多張高畫質數位圖檔免費下載,經查證確屬尚未開放免費下載的高階圖檔;而至於外界所言在淘寶網站上賤賣的圖檔,根據畫素、檔案大小研判,非屬此批外流的高階圖片。
蕭宗煌說明,故宮為因應國際智財趨勢,2022年規劃開放40萬頁600萬畫素圖檔,承辦人員欲將2千萬畫素的高階圖檔降至600萬畫素,但40萬筆資料使主機容量滿載至效能變差,因此將資料移至對外服務主機儲存設備上,進行程式自動化降階處理,卻讓院外有心人士得以使用拼圖軟體等方式讀取後,將局部圖檔拼接存取。
雖然故宮立刻移除這批檔案,但故宮數位資訊室代理主任陳中禹指出,根據痕跡顯示,圖檔是透過機器一頁頁規律性被瀏覽,約有10萬頁已遭讀取,因此判斷有高階文物圖檔遭外流;而依照規定,承辦人員將高階檔案移入可提供對外服務的伺服器時必須提出申請,的確有行政疏失。
陳中禹報說,目前故宮已檢討強化資訊設備使用軌跡紀錄等相關設備與程式運用,內部也已全面盤查各單位典藏高階數位圖檔存放地點、檔案存取方式、檔案保護機制等,並完善系統自動化調檔作業,以電腦取代人員手動辦理取檔、浮水印及像素降階作業,阻絕人為疏失與風險。
不過,立委范雲質疑,此案發生在2022年6月,故宮為何未在規定的1小時內進行資安通報,遲至今年3月14日遭媒體揭露後才通報。蕭宗煌解釋,事發原因為承辦人員疏忽,而非典型的駭客入侵事件,因此並未進行通報;且今年事件曝光後數位部要求通報時,也找不到相應的欄位可填,經詢問後才使用另外的表格完成通報。
此外,由於此案涉及公務機關電腦資料外洩,屬於公訴罪。士林地檢署表示,檢方已剪報分案,指揮調查局向故宮索取資料,但由於承辦人員轉存的伺服器內存有大量的資料,無法直接將主機帶回,因此調查人員改以拷貝的方式,將資料帶回資安站分析,以釐清駭客足跡,檢察官要求調查局盡快出具資安報告。◇