iThome
第一银行爆发ATM盗领8,327万元事件后,多数损失金额都由警方协助找回,但是,对一银带来最大的损失其实是商誉损失以及客户信任。就银行治理上而言,第一银行一直以来都是模范生,是非常早期就已经取得包括ISO 27001和ISO 20000双认证的单位,加上金管会对于银行向来是高度控管,而且一银在ATM上,也一直都还是采用SNA封闭网络架构的银行,也难怪,爆发ATM盗领事件时,震惊社会及金融圈。
勤业众信辅导许多金融业者取得包括资安、IT和个资安全认证,该公司风险管理事业部执行副总吴佳翰表示,目前台湾企业的风险管理委员会并未纳入资安,加上许多资安与IT的风险很难量化,使得台湾企业资安和资讯治理层级,一直未能有效拉高。
ISO 27001和ISO 20000台湾常以资讯部门为主
台湾过去几年,金融业在主管机关的要求下,纷纷取得ISO 27001作为资安治理的基础,但是吴佳翰表示,这个资安认证主要是由资讯部门发起,再陆续往外拓展的认证,虽然许多银行陆续把海外分行的资讯系统,都拉回台湾总行一并管理,管理资讯部门的资安,可以解决大约8成的资安问题,但这样还是不够的。
他进一步指出,现在许多银行有许多新型态的数位金融服务,无法纳入既有ISO 27001控管范围;加上海外分行系统拉回台湾管理,在地的委外与法规遵循仍有一定需求时,在IT管理上很难出现零缺失;伴随着近年来经济不景气,银行缺乏资金与人力将资安范围,陆续扩大到资讯部门以外;以及许多海外分行与业务端的营运都已经先通过主管机关的同意,要为了资安需求作任何的流程修正,难上加难;都使得ISO 27001最终只能作为资讯部门资安管理的证明,无法拓展到全行的资安管理证明。
ISO 20000则是针对IT部门提供的IT服务管理水准作认证的标准,更是局限在资讯部门,吴佳翰便说,在ISO 20000认证范围中,资安往往不是核心服务之一,要把这样IT治理的观念借由认证推广到资讯部门以外,难度比ISO 27001资安推广更高。
董事会应该要具备IT专业,将资安纳入风险指标之一
不论是董事会或者是经营管理委员会,普遍在意的议题是市场营运和策略,即便在意公司营运的风险,层次仍以关心是否有企业舞弊等高层次的风险议题,像是IT或者是资安都仍是为作业层面的议题,往往很难在这样高层次的会议中被提及。
国外许多企业一旦发生严重的资安事件,公司董事长或总经理都需要下台负责,资讯长下台则是因为有明确疏失才会下台负责。但是,以7月18日一银董事长蔡庆年记者会上的惩处的说法,惩处的层级应该是从处长作为认罪的代罪羔羊,更上层的主管,看不出来有任何为此事负责之意。
吴佳翰表示,有许多公司基于董事会职能的提升,保障投资人权益和维护公司信誉,慢慢会在独立监察人的名单上,纳入具有IT专长的人,只不过,这样的风气之前并不盛,或许在一银事件后,对于许多企业的公司治理上,会有新的启发。
资安风险要从“不做,会对公司带来多少损失”着手
不管一银事件最后如何落幕,许多企业也可以从中学习一些经验教训。吴佳翰指出,企业应该开始思考,一定要提升资安治理的管理层级,资安不只是营运作业层面的事情,更应该与公司发展策略息息相关。他解释,风险管理委员会不管资安,因为资安不是经营作业要面对的风险,而是IT部门要管的事,但从一银的事件过后,许多企业的观念应该要调整,资安风险其实就是公司营运的风险。
因为要把资安纳入高层的管理指标之一,吴佳翰认为,许多量化管理的指标就应该更即时,他甚至建议,财报的部分除了实际营收的数据外,也应该要有一份非财务资讯的相关报表,而“哪些资安风险没有获得控管,将对公司带来多少损失,才是该份报表应该呈现的面向之一。”吴佳翰表示,最好的例子其实就是可口可乐,该公司的品牌形象,早就超过公司总资产的一半,这也是台湾企业在经营管理上,应该思考的角度。
若以一银为例,因为资安没做好,实际金钱损失少于八千万,但是,商誉的损失和客户信任感的损失,早就超过八千万之谱。
金管会要求银行建立资安演练机制,如何落实才是重点
一银事件后,金融主管机关则要求银行业应该要建立金融机构资安演练机制,像是资安防骇的演练,就应该要模拟资讯系统遭骇的情况为主,勤业众信资安科技暨鉴识分析中心则建议,应该要搭配数位证据的搜集与封存演练、模拟遭骇后系统证据的搜集、封存与初步分析过程等,作为提升金融机构资安人员面对骇客入侵的应变策略,以及如何具备基础的数位鉴识能力和协调沟通能力。
所有的资安应变都会分“事前准备”以及“事后应变与鉴识”两个阶段,勤业众信企业风险事业部经理陈威棋指出,事前准备阶段,建立资安事件通报的SOP与制定资安应变暨化,并做好定期的防骇演练,让企业员工把资安应变的作法内化成工作流程的一部分甚至是植入员工的DNA中,才能真正做到妥善的资安应变。
陈威棋表示,“建立应变组织”、“规划事件应变处理流程”和“规划定期资安事件与骇客攻防演练流程”是事前硬变得三大重点,有明确的资安权责单位后,一旦爆发资安事件,相关的人员才能依照权责做相关处理与决策。
至于事后资安应变与鉴识分析,陈威棋表示,这时候可能会面临诉讼阶段,所以,相关的数位证据保存都必须要做到可以确保相关的证据能力。他指出,这时候,企业必须要具备规划过的数位鉴识机制,包括:企业内部要有自己的资安应变与数位鉴识团队;所有资安事件的处理都依据“资安处理与数位鉴识作业程序”办理;最后,数位证据都必须在一个可以被信任的资安事件分析环境中进行,如果前者成本过高,也可以采用一些免费的资安事件与鉴识分析工具做备用。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09