一银ATM遭无卡盗领逾新台币8000万元,安侯企业管理公司指出,此事件凸显现行金融资安检测应付不了真正的骇客,而封闭式网络也非安全保证,政府、企业应同时检讨风险观念与资安技术。
安侯企业管理公司数位科技安全负责人谢昀泽指出,一银爆发史上最严重 ATM遭骇客盗领案件,目前新闻焦点都放在某一厂牌 ATM型号的漏洞,但一个已依主管机关规范,完成金融资安检测与 ATM安全检测的银行,为何还遭到骇客盗领,主要有两个因素,也是各产业需认真因应的重点。
谢昀泽表示,此事件凸显现行金融资安检测,已应付不了真正的骇客。他指出,主管机关近年针对高风险金融业发布更严格的资安检测规范,包含ATM在內,相关机构都需要完成检测,且呈报主管机关。
然而,多数金融机构只在乎完成主管机关交办任务,多在最低成本前提下准时完成检测报告,而不在乎由谁检测,也忽略检测的深度、频度与涵盖度是否足够。但廉价的基础检测,只应付得了主管机关,无法应付数位空间中的真实骇客。“这与我们抽血量身高交健检报告,就想知道身体是否真的健康,是一样的道理。”根本是缘木求鱼。
此外谢昀泽认为,封闭式网络不能做为安全保证。多数企业经常号称采用不与网际网络直接连接的“封闭式安全网络”,包含此次受骇的 ATM网络,然而,封闭网络是否真正封闭到可以确保安全?是否有未曾往上呈报的“作业必要出口”,或有无为了维修方便而建立不为人知的“维护管道”?
他担忧,若连普遍认为安全、成熟的 ATM防护机制,都已被攻破,在未来只要是任何国际级骇客认为有利可图的攻击对象,无论是否为封闭式网络,若未与时俱进,采取更进一步的积极作为,也都极可能被突破,“电网被突破导致大停电、国防网络被攻陷导致国安事件等,都不会再是电影中的情节”。
谢昀泽期望,经由这次事件,政府与企业能检讨数位科技安全的风险观念、技术与法规,掌握此一契机,并找到解决问题的方向。
I 相关 / Other
依照现行规定,劳工若在休假日上班或平日加班,依加班时数会有1.34倍或1.67倍的加班费,但补休只能补足加班的时数。劳动部长郭芳煜今天(6日)在立法院表示,用补休方式代替加班费不公平,近期会检讨。立法院卫环委员
营建业测验点连续3个月上扬,来到半年新高,不过,台湾经济研究院副研究员刘佩真提醒,全国12个县市检讨房屋税,调幅恐创30年最大,可能影响民众购屋意愿。台湾经济研究院今天召开“景气动向调查报告”记者会,公布
记者颜真真/台北报道针对美国DRAM大厂美光收购华亚科技案恐无法如期完成,华亚科却未主动申请暂停交易,引发质疑,对此,金管会主委丁克华13日表示,若事先知道有重大事件,上市柜公司应先申请暂停交易,华亚科并没
华亚科与美光间的购并案恐无法如期完成,且华亚科未申请暂停交易,金管会主委丁克华表示,可以检讨暂停交易做法,参考其他国家有没有更好的做法。美光日前宣布,无法在预定时间內完成收购DRAM大厂华亚科后,外传华亚
(中央社日內瓦7日综合外电报道)世界卫生组织(WHO)表示,寨卡病毒(Zika)紧急委员会下周将召开例行会议,检视疫情现况,和检讨所作建议,包括针对里约奥运所提建议。世卫表示,寨卡病毒紧急委员会“将检视与奥运