close
銀行遭駭 曝物聯網罩門
2017-10-13 02:22聯合報 黃信智/科技服務公司負責人(台南市)
日前本國銀行遭到駭客自網路轉帳至國外數個帳號約六千萬美元,約合十八億元,目前已追回大部分金額。以下就企業面、政府面、萬物聯網等三部分進行此案例之論述及反思。
恰巧也好,故意也罷,按人性而言,駭客當然選擇企業防禦力較弱時下手,例如連續假期舉國放假之時。就如第四次中東戰爭,埃及、敘利亞選擇在猶太人的假日贖罪日這天,對以色列發動攻擊而快速收復了部分的西奈半島。這也是企業在資安領域應注意的一環-防禦不分平日假日。
對於大額交易,理應都會增加人工覆核的關卡,但媒體報導該銀行未有此程序。駭客能夠發現企業營運流程的漏洞,應是盯上該銀行一段時日觀察得到的心得,恐怕在此六千萬美元之前已有數筆不為人知的非法交易。企業的風險管理理應將資訊安全管理納入,不管你想不想要,這都是必然的結果。
該銀行早先因行內某系統癱瘓而發現有異常病毒,而通報金管會。該通報機制有賴於主管機關對轄下組織的監督及鞭策,幾經時日才融入企業文化。這是金融業主管機關對於轄下各組織之風險控管、內部控制,其努力成果值得我們肯定。
SWIFT是國際匯款重要的一環,試問,若該系統未癱瘓,該銀行是否會發現有異常、有客製化的程式碼早已埋伏於內部?這是值得思考的。當我們未發現、未看見某件事情發生之時,並不能證明沒有事情發生。
網路通訊協定數量繁雜,只要夠孰悉,就能從各項通訊協定設計面去切入,進而形成各種網路攻擊。該客製化程式碼得以造假封包並發出相關指令,顯示原作者對於SWIFT運作機制有一定孰悉度。
智慧國家、智慧城市、智慧家庭、智慧生活這些概念都已成形,任何你想得到的電子產品都已經或即將可以連上網路,但只要連上網路,就必須面臨「受駭」之風險。日前美國佛州遭受艾瑪颶風侵襲,特斯拉公開證實確實遠端操控部分型號車款,解放該車款剩餘的百分之廿電力,協助災民逃離災害現場。這恰恰是萬物聯網的罩門,不論你想要、不想要、需要、不需要,總有那麼一個人可以隨時隨地操控你。
以前聽到網路攻擊,人民可能覺得意外。逐漸地,大家聽多就麻木、常態化了。最糟糕的是,深怕在大家都以為常態化之際,因為種種難關和難題而難以有所作為,而導致多數人心灰意冷。
各種網路攻擊殷鑑不遠,除了台灣還有許多國家也深陷其中。殷鑑不遠,應引以為戒,期許蔡總統的「資安即國安」論調能夠持續灌注台灣更多能量。
2017-10-13 02:22聯合報 黃信智/科技服務公司負責人(台南市)
日前本國銀行遭到駭客自網路轉帳至國外數個帳號約六千萬美元,約合十八億元,目前已追回大部分金額。以下就企業面、政府面、萬物聯網等三部分進行此案例之論述及反思。
恰巧也好,故意也罷,按人性而言,駭客當然選擇企業防禦力較弱時下手,例如連續假期舉國放假之時。就如第四次中東戰爭,埃及、敘利亞選擇在猶太人的假日贖罪日這天,對以色列發動攻擊而快速收復了部分的西奈半島。這也是企業在資安領域應注意的一環-防禦不分平日假日。
對於大額交易,理應都會增加人工覆核的關卡,但媒體報導該銀行未有此程序。駭客能夠發現企業營運流程的漏洞,應是盯上該銀行一段時日觀察得到的心得,恐怕在此六千萬美元之前已有數筆不為人知的非法交易。企業的風險管理理應將資訊安全管理納入,不管你想不想要,這都是必然的結果。
該銀行早先因行內某系統癱瘓而發現有異常病毒,而通報金管會。該通報機制有賴於主管機關對轄下組織的監督及鞭策,幾經時日才融入企業文化。這是金融業主管機關對於轄下各組織之風險控管、內部控制,其努力成果值得我們肯定。
SWIFT是國際匯款重要的一環,試問,若該系統未癱瘓,該銀行是否會發現有異常、有客製化的程式碼早已埋伏於內部?這是值得思考的。當我們未發現、未看見某件事情發生之時,並不能證明沒有事情發生。
網路通訊協定數量繁雜,只要夠孰悉,就能從各項通訊協定設計面去切入,進而形成各種網路攻擊。該客製化程式碼得以造假封包並發出相關指令,顯示原作者對於SWIFT運作機制有一定孰悉度。
智慧國家、智慧城市、智慧家庭、智慧生活這些概念都已成形,任何你想得到的電子產品都已經或即將可以連上網路,但只要連上網路,就必須面臨「受駭」之風險。日前美國佛州遭受艾瑪颶風侵襲,特斯拉公開證實確實遠端操控部分型號車款,解放該車款剩餘的百分之廿電力,協助災民逃離災害現場。這恰恰是萬物聯網的罩門,不論你想要、不想要、需要、不需要,總有那麼一個人可以隨時隨地操控你。
以前聽到網路攻擊,人民可能覺得意外。逐漸地,大家聽多就麻木、常態化了。最糟糕的是,深怕在大家都以為常態化之際,因為種種難關和難題而難以有所作為,而導致多數人心灰意冷。
各種網路攻擊殷鑑不遠,除了台灣還有許多國家也深陷其中。殷鑑不遠,應引以為戒,期許蔡總統的「資安即國安」論調能夠持續灌注台灣更多能量。
全站熱搜
留言列表