起因
行政院國家發展基金管理會於上月 6 月 28 日發現其電腦主機系統遭中國駭客駭侵，此次事件被通報為三級資安事件，行政院資通安全處與調查局資安處已針對此次事件進行調查。此外，根據 iThome 報道，國發基金的執行秘書蘇來守也表示，在接獲事件通報後，已第一時間封閉系統及網域的對外連線並將駭客部署的惡意程式代碼交由資安公司做分析，並且將系統內的資料轉回國發基金的內部系統，在系統防護未提升完成前，不提供對外連線。

經過
根據中時新聞網報道，國發基金的創業投資系統，是委託兆豐銀行建置的。在 6 月 28 日上班發現電腦無法開機後便立刻通知相關單位，在調查後發現總共有 8 台主機遭到入侵，當中包含 3 個惡意程式及對外連線的 5 個中繼站。而遭駭的系統內所儲存的資料，蘇來守表示當中多為 2016 年以前舊資料的備份，不過仍然包含部分已退休或是在職公務員的基本個資，也會根據資安法規定，通報當事人。蘇來守表示，目前觀察已被植入惡意程式的系統，暫時沒有發現有對系統資料進行破壞及外洩的現象，但國發基金也已關閉系統並禁止外部連線，且重新設定為網域和系統管理員的帳號及密碼，並重新檢查所有使用者的身份，暫停不需要的網絡共用帳號及密碼。

結果
蘇來守在事件後表示，原本與兆豐銀行的合約是到 2022 年 3 月，原本計劃在合約結束後才會將資料轉回國發基金內部，但因此次資安事件爆發，會視其技術能力與合約規範，慢慢地將舊的系統資料轉回。蘇來守也認為，由於國發基金是專業金融投資單位，但是卻缺乏屬於自己的資安部門人員，必須仰賴外部的單位協助，但在經過此次事件後，會加強其組織內部資安人員的配置，並加上外部資安人員的協助，以確保整體系統的安全運行。此外，因國發基金管理單位國發會為 A 級機關，未來，國發基金也會考慮參照 A 級機關標準，進行相關資訊服務管理和採購。

產出符合供契規格報告的 Key-Reporter 關鍵弱掃報告追蹤管理系統
A 級機關的應辦事項中，包含每年必須針對全部核心資通系統辦理 2 次的網站弱點掃描以及 1 次的滲透測試。然而往往弱點掃描及滲透測試僅為起點，弱掃結束後的報告產出往往才是然許多 IT 人員主管機關頭疼的一點，針對這一點，關鍵智慧特別研發之 Key-Reporter 關鍵弱掃報告追蹤管理系統，可以與原廠的報表介接，快速整理出符合供契規格的 Word 報告與 Excel 報表，讓 IT 人員可以針對弱點迅速進行修補。減少資源浪費，提高弱點修補效率，並降低組織被駭侵的風險。此外，Key-Reporter 內配置的弱點追蹤管理模組，讓組織能夠以更簡單的方式追蹤弱點修補的狀態，不必再為了弱點的修補進度煩惱。透過 Key-Reporter ，組織可以實現弱點報告一鍵產出，弱點管理一鍵追蹤，各種弱點管理中的痛點也可以一次解決。

參考資料：
https://www.ithome.com.tw/news/145842
https://www.chinatimes.com/realtimenews/20210723001332-260407?chdtv