上市櫃公司接連被駭客攻擊!金管會:三大面向強化資安
Posted On 2023 年 3 月 20 日
2023年以來,國內資安危機頻傳,企業資安拉警報,上市櫃公司接連傳出資安異常事件,從華航到 iRent 及微風企業的核心資料,不是被國外資安人員發現資料外洩,直接張貼在公開的論壇上,並且以不到幾毛錢的價格對外販賣。
台灣長期是全球網路攻擊的重點之一,根據以色列資安巨頭統計台灣在2021年每週平均被攻擊2664次過一年數字並且成長一成,其中以金融業(4664次/每週)被攻擊的次數是居冠的,製造業(3705次/每週)為被攻擊的第二名,政府與軍事機構(2884次/每週)為被攻擊的第三名。
金管會要求各上市櫃公司要從三大面向強化資安管理,,並要求一旦造成公司重大損害或影響,必須在台股開盤前 2 個小時以前要對外發布重大訊息,若未揭露依法可處以 3 萬~ 500 萬元罰鍰。
金管會在為了強化上市上櫃公司資訊安全管理機制上,由以下三大面向中從「資訊揭露」、「公司治理」及「監理協助」採取措施,推動強化公司資通安全管理:
一、資訊揭露:
金管會、證交所及櫃買中心已修訂相關法規,要求上市櫃公司於發生重大資安事件時,應即時發布重大訊息,另亦應於年報及公開說明書中敘明資通安全管理政策及方案、投入資源、資安風險影響程度與因應及所遭受重大資通安全事件之影響。其中,在發布重訊方面,金管會表示,一旦造成公司重大損害或影響,必須在台股開盤前2個小時(上午7點以前),要對外發布重大訊息,若未揭露依法可處以 「3萬~500萬元罰鍰」。
二、公司治理:
金管會業依資本額規模、市值、業務性質及營運狀況等劃分上市櫃公司為 3 等級,分階段要求配置資訊安全人力資源,其中第一級公司115家已於111年底完成設置資安長、資安專責主管及人員;第二級公司1387家預計於112年底前完成設置資安專責主管及人員。另為積極協助上市櫃公司完善資通安全防護及管理機制,證交所及櫃買中心並已訂定資通安全管控指引供公司參考。
三、監理協助:
金管會透過鼓勵方式推動上市(櫃)公司依風險等級分期加入台灣電腦網路危機處理暨協調中心共享資安情資;此外公司導入「ISO 27001」、「CNS 2700」 等資訊安全管理系統標準或「取得其他第三方驗證」之標準,並已納入 111 年度公司治理評鑑指標加分項目。
在過去以往駭客的攻擊目標多鎖定在金融業較多,像是有ATM攻擊事件,再到後來駭客攻擊轉為供應鏈的產業上,所以導致許多間上市櫃公司因資安的漏洞事件被裁罰後,都有改善進而強化資安,而駭客也變聰明的轉向攻擊資安體質差的中小企業公司,近期被攻擊的案件都是非即時的可能是駭客在好幾年前就已經入侵了,直到最近才把資料給洩漏達到恐嚇,產生了大量的時間斷點,造成企業很難徹底查出問題點。
當遇到資安攻擊危機事件可以先做深度健檢,盤查資安弱點,因資安防護無法一次到位,再由漸進式的進行部屬,企業也要做好SOP,避免遭受到資安危機事件。
相關的解決辦法有1.零信任解決方案 2.FIDO無密碼登入 3.OETH雲端身分認證
零信任解決方案
零信任的三個階段
-身分鑑別 : 在任何系統作業流程內都是需要身分的鑑別的,確認是否為使用者是相當重要的。
-設備鑑別 : 持續監控設備健康管理的機制,包含作業系統更新、防毒更新、應用程式更新與組態合規,隨時更新設備健康信任等級。
-信任推斷 : 存取決策(使用者在時間地點做判別風險)。
FIDO 數位身分-無密碼登入
FIDO各產業應用
金融FIDO、銀行產業
金融FIDO可以做到全通路核身驗證中心、跨機構查驗認證機制、多租戶數位身分管理,快速便利的登入帳號,又能確保個人隱私不會洩漏於第三方。
一般行業
FIDO除了能夠針對企業提供客製化方案之外,也可以適用於所有企業在遠端工作VPN/VDI中。
FIDO可以在員工透過遠端連線登入時身分認證,確認員工從企業認可的裝置設備中登入,避免密碼洩漏的問題,因與伺服器的認證方式透過無密碼認證的生物辨識,將企業資料安全防護做到最好。另外,管理者可以透過後台調整每一位使用者的存取權限,提升資安身分鑑別的監管層級。
IoT設備與物聯網產業
物聯網的蓬勃發展改變製造業、零售業、醫療業等各式產業的生態,因此FIDO研發出專為IoT物聯網設備的FIDO認證FDO (FIDO Device Onboard)協議。
1.IOT設備的製造商,安裝FDO軟體的客戶端及其密鑰、所有權憑證和其他FDO憑證。
2.購買設備的用戶將所有權憑證發送到選定的雲端平台,集合服務器會收到所有權憑證。
3.當設備接電並連接網路時,會將自己標識到與雲端平台配對的集合服務器上。
4.設備會聯繫雲端平台並提供其密鑰,雲端平台會提供所有權憑證,在兩者之間創建安全的加密通道,就可以通過通道下載必要的憑據或代理軟體。
5G時代應用
5G講求大頻寬(eMBB)、大連結(mMTC)及超低延遲(URLLC),而其中低延遲的特性若沒有做好資安防護,一旦遇到惡意攻擊將難以在極短的時間內反應及補救,因此提早建置良善完整的資安環境,降低風險將會是5G時代最重要的科技議題之一。
FIDO解決方案能提供良好完善的應用技術,可以透過實體裝置認證,以避免資料被駭客取得,為5G時代做最好的資訊防護。
1.透過FIDO身分鑑別和身分認證以確認使用者身分,減少多組密碼登入、帳號盗用。
2.FIDO以公開金鑰加密,多因子認證、生物辨識特性,以使用者裝置進行認證。
3.FIDO將認證資料存於使用者硬體端不因網路資料外流,達到零信任安全有保障。
訂閱偉康科技洞察室部落格,掌握最新科技趨勢!
專人協助
由偉康業務人員為您詳細說明偉康的解決方案,以及相關產業經驗。
About The Author
