![]()
日前發生銀行提款機盜領案,社會一片嘩然。前車覆,後車戒,我們更應該從事件中尋思經驗,惟有提升資安的重視度及防護層級,掌握核心能力及資安情報,才能無畏前行。
日前國內銀行發生ATM盜領事件,引起大眾對網路安全問題的討論,金融業的網路安全固然重要,然而,除了金融業之外,一般企業的網路安全亦亟需重視。從銀行盜領案的事件中,我們如何借鏡其中的經驗?本文深入探討企業網路安全應注意的議題,唯有透過全方位檢視,方能提升企業的資訊安全管理意識。
資訊儲存在電腦中,透過網路傳遞,隨著使用者的人事時地物的不同,使用與傳遞資訊的權限也不同。「資訊」往往也是一間企業智慧存儲的形式與展現,資訊的外洩與盜取,同時也代表著企業的損失。資訊在企業中雖受到重視,然而在臺灣企業家數比例超過99.5%的中小型企業,對資訊安全的防護概念與預算,可能仍為不足的情況下,資訊安全常常是最容易被忽略掉的一塊;而許多企業仍將屬於網路安全的部分放在資訊預算中,大部分企業的資安部門也只是資訊部門中的一部分,如此一來,容易導致網路安全與風險管理脫鉤。行政院人事總處副人事長蘇俊榮說道,資料的維護與安全並非只是資訊或技術人員的責任,而是仰賴全體員工的合作,包含警衛、接待人員等,都必須肩負起維護資安的任務;例如,訪客簽名資料的保管,看似普通,卻也是不容輕忽之事。
另一個可能遇到的困難,是資訊部門員工的權限,難以強力要求其他部門的員工遵守相關資安維護規定,加上臺灣資安產業尚不興盛,也因此較缺乏資豐沛的資安設備或人力資源,故資源如何配置就成為重要的課題與挑戰。
正視風險 策略治理
一項調查指出,2015年全球因網路安全犯罪造成的損失金額高達14兆臺幣,代表現今網路犯罪這條黑色經濟鏈已是有利可圖,銀行更容易成為攻擊者下手的標的,故網路安全實為金融業者不可小覷的課題,然而國內上市櫃公司的資安預算,經常占不到資訊預算的10%,故除了金融業者外,所有企業也應正視資安問題為公司治理的一塊。
資料的維護和網路安全密不可分,這也是現今相關業者最重視的議題。行政院副人事長蘇俊榮以其過去豐富的資訊管理經驗表示,資訊安全的防護大致可分為三個部份:應盡的注意、全員的訓練,及首長的支持。
應盡的注意
又分為實體與機房保護,實體方面就例如最常見的門禁,以識別證的授權來管控資料的取得;存有大量資訊的機房,安全把關更是關鍵,未來期待也能有以人體特徵辨識的方式,例如瞳孔或體重辨識,來加強把關;
全員的訓練
負責的資安人員,應考取證照,並且定期更新,與時俱進;在資安防護上也必須有嶄新的思維,不能只停留在設置防火牆等被動的防駭,在內部訓練白帽駭客,定期以可能攻擊的手法,主動測試內部的資訊系統安全,將此作為內部控制的一環也是企業可因應的方式,知己知彼,方能防患於未然;
首長的支持
資安防禦永遠無法靠單打獨鬥就能成功,同仁的受訓固然重要,首長的支持更是不可或缺,欲改善企業的整體資安體質,便要從首長開始提升整體資訊風險管理意識。
蘇俊榮也強調,核心能力的掌握,與外部廠商的把關,是資安落實的兩大重點。許多企業將資安業務交由外部廠商協助,除了進行資安防護,企業也應將其作為學習標竿,嘗試將其業務漸進式交由內部人員負責,自己掌握核心能力,鞏固資訊安全。
突破限制 取得平衡
隨著行動裝置和新興科技的使用層面越來越廣,金融業以及相關業者的服務不斷推陳出新,眾多服務為我們帶來前所未見的便利,卻也無形中夾帶許多難以防禦的風險。從前的資安問題大多只涉及個人資料外洩,然而現今企業所面臨的則不只是金錢上的損失,一旦問題爆發,對商譽的影響更不光是帳面上顯示的金額所能衡量。企業應如何確保資訊的防護與風險控管?「防弊」及「興利」,在銀行推展業務的過程中,又應如何恰當拿捏?