andk

一銀遭盜領／銀行資安玩假的
分享分享留言列印
A-A+
2016-07-19 03:21 聯合報 陳德欽／資訊安全從業人員、中華民國電腦稽核協會會員（台北市）


陳德欽／資訊安全從業人員、中華民國電腦稽核協會會員（台北市）

一銀盜領案中，駭客手法細密，技術複雜，一般民眾難以理解，但大家更關心的是今天ＡＴＭ會自動把錢吐出來，那麼明天我的帳戶裡的錢會不會毫無痕跡的消失了？這種心態反映了大多數人對資訊是否安全的疑惑及恐懼。

第一銀行於二○○六年八月為首家台灣大型金融機構取得ISO 27001（資訊安全管理系統）的認證，期間耗時十三個月方取得該項認證。以該銀行近十年來投入之資源卻依然爆發如此重大的資安事件，那麼其他金融機構及企業是否能真正保障客戶財產及資訊的安全，令人疑惑。

台灣企業熱衷於取得各式各樣的認證，但取得認證後跟是否有足夠能力維持資訊的安全似乎又是兩回事，其中最大的問題是企業高階的心態問題。

台灣的企業大多數是為取得認證而認證，真正的出發點並非是為了建立一套完整的資訊安全管理方式及框架。我們可以去調查具有ISO 27001認證的企業，其董事會中有沒有任何成員具有資訊安全管理背景，或是為企業設立專門的資訊安全長，就可以清楚了解資訊安全是不是真的被企業所重視。企業只有很明確的將保護資訊安全設定為企業的營運目標，才有可能真正的重視資訊安全議題。就以銀行業來說，銀行業是屬於高度資訊化的行業，若銀行的高階決策層對資訊安全一臉茫然或是毫不重視，那麼就算取得了多少張認證也是枉然。

企業若真正重視資訊安全，就應該將資訊安全治理當成企業治理的重要部分，設立真正負有權責的資訊安全長及資訊安全部門，而不是在現有的資訊作業部門裡找幾個網路管理人員，就宣稱已經具有良好的資訊安全管理。現今的資訊安全威脅，已經不只是單一個案或是偶發事件，還有更多的是一連串互為因果的事件組合而成；若企業對資安問題的防範及處理仍然停留在萬一有事情發生再說的低階戰術層次，而缺乏宏觀的戰略層級的思考，那麼下次的損失就不只是八千萬元了。

亞歷克．羅斯在其著作「未來產業」中曾說：「十多年前，各企業董事幾乎一定要包含稽核專才。未來五年內，企業董事會如果不納入網路專才，將成公司治理的一大弱點。」而網路安全又與資訊安全唇齒相依，所以同理我們可以預期，在這個資訊充滿威脅的環境裡，若企業的董事會不納入資訊安全管理的專才，那麼也將會是該公司治理的一大弱點。

若企業願意將確保資訊安全列為企業營運目標之一，真正落實資訊安全管理，加上台灣擁有的高水準資訊人才，一定能夠防範更多的資安事件。

盜領﹒第一銀行﹒駭客