企業資安快快布網防駭

新聞發佈

企業資安快快布網防駭

勤業眾信風險管理諮詢公司董事長、中華民國企業經理協進會副理事長 / 陳清祥

ATM被駭遭盜領逾8,000萬元事件,宛如電影情節,引起各界關注,大家都在探討事件發生的原因?是否可以有效防止類似事件?其他管道是否也可能遭到駭客入侵?

ATM被駭在國外早有案例,無論是用偽卡至ATM提款,還是網路入侵,在在顯示駭客技術的全球化與無國界,從駭客工具販賣、偽造網站製作到車手,已形成一個巨大的黑色經濟供應鏈。

依據2016年世界經濟論壇的全球風險報告,每年因網路犯罪所造成的經濟損失超過4,450億美元,居企業風險排名第二,對於企業的永續發展極具威脅性。

隨著近幾年新興科技應用突飛猛進,造就了金融科技創新、智聯網與行動應用的盛行,以金融業目前最夯的行動應用App來說,正是打造所謂的行動ATM,雖不至於吐鈔,但舉凡查詢、轉帳等金融交易,皆能透過一機在手操作實現,相當的便民。

這新興科技確實能增加通路與服務黏著度,並降低分行營運成本,然而,同時更應該要落實資安內控、提升安全技術檢測的能力,並強化委外廠商開發的安全控管。

人是資安管控中最弱的一環,駭客經常運用社交工程手法,誘騙受害者進行違反規定的行為,或者植入惡意程式。根據勤業眾信(Deloitte)對全球銀行業所做的一項資安調查顯示,80%以上的銀行有完整正式的資安政策及規定,但只有47%的銀行完全遵守這些規定。高度監理的銀行業都還如此,其他產業的資安落實狀況更令人擔憂。因此,所有企業應形塑重視風險管理的文化。

資安管理是高度產業攸關,從這次銀行ATM被駭事件、以至於高科技業的商業間諜與營業秘密保護,到電子商務因個資外洩而引發的詐欺事件,其保護的標的從公司的重要商業資料、到客戶民眾資料、到系統安全、以至於金流,每個產業關注的資安議題有所不同。

資安管理要在眾多業務、部門、系統、控管與廠商中,辨識出要投入資源、排訂計畫進行改善的風險區域。

現在的資料與業務跨產業、跨國的傳遞和協同越來越頻繁,這讓產業的資安風險管理更顯棘手,建議企業應該建立一套完整的資訊科技風險管理機制。

在風險改善的手法上面,切忌單一面向的手段,應該多方思考管理與技術並施,往往技術的問題要靠管理解決,而管理的問題要靠技術深化。

在過去,企業投入資訊安全管理,大多是從制度的建置著手,這是非常重要的基石,然而資安屬於動態性的發展,不可能仰賴一套萬年不變的制度,亦不能期待百分百的安全。

除了建構事前防禦機制外,應該強化事中的運作監控,建立相關日誌管理與監控機制。更重要的,是應該建立事後應變處理機制,定期沙盤推演與演練,以期於事件發生時能有效及即時進行資安事件處理、數位證據保全及業務持續運作,以降低資安事件所導致的損失。

面對資安防護,建議董事會應加以高度重視,立即監督經營團隊推動及資源投入的落實。

(本文已刊登於2016-07-22經濟日報A4焦點版)

是否找到您要的資訊?