(1)事件：內政部舉辦「身分證明文件再設計徵選活動」，遭對案駭客攻擊(新聞來源： http://news.ltn.com.tw/news/politics/breakingnews/2408165 、https://www.chinatimes.com/realtimenews/20180427002244-260407 )
(2)被攻擊單位：內政部
(3)系統：「身分證明文件再設計徵選活動」網頁
(4)時間：2018年4月
(5)攻擊方式：利用網業漏洞綁架網頁

先引述自由時報黃姓工程師的推測說法：

「活動官網竟被駭客綁架走！」黃姓工程師向本報投訴，他自己懂得寫程式，內政部委外所做的活動網頁，很明顯出現資安漏洞，研判程式沒寫好，才會那麼容易就被植入程式碼，直接「綁架」導去中國網站，若點選其他作品，還會連去不存在網頁，後來更掛掉癱瘓。

以上提到一個問題，就是『程式沒寫好』，這是黃姓工程師的推測，最後還是必須由專門的資訊人員確認才能了解真實的情況。

就上述新聞提到『資安漏洞』，筆者在此想到一個資安漏洞的相關議題，那就是有關『漏洞的揭漏方式』報導，根據國際上的做法是在90天之後，才能公告資安漏洞訊息，為什麼需要90天？筆者對這個不成文規定也是充滿疑惑，所以引述幾篇新聞來做解釋，以下將引述『資安人』作者：邱述琛、吳雅倩 2017 / 09 / 22的三個案例，也許這樣不成文規定有他的用意在，茲將個案分述如下：

(1)2016年，安全研究公司MedSec在未通知可以修補漏洞的業者情況下，將漏洞資訊先揭露給投資公司，再公布業者製造的心律調整器與其他醫療設備弱點可能導致遭駭，同時也引發出，注資投資公司壓注該公司股票下跌。此具有高度爭議性揭露弱點方式引發資安社群的高度關注本案，因為這可能是首件利用網際安全弱點套利的案例，除引發道德爭議外，也可能讓資安弱點揭露的議題更加複雜。

(2)2017年德國資安研究公司ESNC因為揭露了某單位以SAP開發的自動控制評估工具存在漏洞，儘管ESNC當時已通報該單位，並按業界揭露漏洞常態於三個月後公佈漏洞，但仍收到律師信要求不得公開。

(3)最近的案例則有2017年9月南韓研究人員因之前提供的漏洞訊息未獲得業者感謝，且發現業者私下發布部分漏洞之修補程式而感到未獲得尊重，故這一次選擇在未聯絡業者情況下完全揭露之情況，更是將廣大的使用者陷入險境。

另外，2016年google跟微軟也是因為漏洞太早公告，因而槓上的問題，以下引用iThome的報導：
https://www.ithome.com.tw/news/109340

以上幾個案例，可以讓我們看到，資訊揭漏的問題，其中，有些是道德問題，有的是為了引資的問題。但筆者提出一個看法，其實台灣是可以參照台灣公開資訊觀測站的模式，建立一個比較完整的規範及平台。

台灣目前在公開資訊觀測站上的公司公告，主要還是以財務為主，比較不會去公告資安相關的公告，但是，還是可以參考比照公開資訊觀測站的模式，來規範全台灣將近兩千多家的上市櫃公司，甚至往下延伸。以公開資訊觀測站的公告為例，其公告都是有一定統一的格式在公告上傳的，同時，上市櫃公司都有ㄧ位管區(就是承辦窗口)在負責監看公告內容，如果公司未公告，或者公告訊息有誤等等，管區都會在第一時間通知公司修正，或撤除公告，並且具有罰款及懲處的權力。台灣的公開資訊觀測站雖是參照美國EDGAR所設計出來的資訊公開平台，但是就其設立之後的結果呈現，卻是優於世界各國的，所以其實資安公告也可以參照這個方式來進行資訊揭漏，以避免太多爭議。

其次，有關公司資安是否會造成投資者或消費者對於公司營運的質疑，甚至會引發道德上的問題等等，筆者認為，一家負責任的公司，還是得做好公告，有太多企業都在事發數年之後才被新聞所揭漏出來，老實說，企業形象也已經受損了，而且也損害其他企業，甚至直接損害消費者，事後彌補很多都無濟於事。或許國際上知名企業自行約定90天時間，也許有其意義存在，或許90天是個緩衝期，畢竟，如果以資安來說，有的問題，都不是一天、一個星期、一個月可以解決的，所以設定一個緩衝期，也讓企業有應變時間，這點並無可厚非。

最後，很多案例都顯示，政府單位資安並不安全，加上對岸攻勢不斷，有時真的難以招架，但若與美國相比，台灣已經算是小巫見大巫了，只能引用孟子說生於憂患死於安樂，有憂患意識存在，才能避免掉很多危難，就正面思考來說，也是種提升資安的動力來源。以戰養戰吧....