俄羅斯知名網路安全公司卡巴斯基(Kaspersky)最新報告稱,近來針對全球金融機構發動攻擊,與台灣等18國多間銀行遭駭案的罪魁禍首是北韓駭客,卡巴斯基指稱北韓發起的Lazarus駭客行動攻擊了台灣的銀行,讓人不由得擔心去年第一銀行的ATM被駭的盜領案重演,但金管會資訊服務處蔡福隆表示,台灣被列入目標而已,尚未發現有攻擊活動。
網路安全公司卡巴斯基(Kaspersky)最新報告稱,北韓駭客行動越來越肆無忌憚,近來針對全球金融機構發動攻擊,與台灣等18國多間銀行遭駭案有關,這項名為Lazarus的駭客行動,攻擊了台灣、哥斯大黎加、衣索比亞、加彭、印度、印尼、伊拉克、肯亞、馬來西亞、奈及利亞、波蘭、泰國及烏拉圭的金融機構,研究人員循線追溯到駭客來自北韓。
另美國有線電視新聞網(CNN)報導,北韓駭客惡名昭彰,先前資訊安全專家已發現北韓駭客曾試圖駭入孟加拉、厄瓜多、菲律賓和越南的金融機構,進行網路搶劫。
公股行庫,防火牆「較矮」
一位公股行庫資訊安全人員透露,不確定是否因為北韓駭客的關係,但金管會在過去幾個月以來,針對八大公股行庫的資訊安全部份,不斷的查核,銀行被要求寫報告。金管會資訊服務處蔡福隆則澄清說,該國際黑客組織只是把台灣列入攻擊目標,還沒有進行攻擊行動,而國內的銀行根據「金融機構辦理電腦系統資訊安全評估辦法」等相關規範,持續按照各個環節在督導中。
「如果台灣的銀行被盯上,也一定是公股行庫。」一家銀行資安顧問廠商負責人表示,國內銀行對於防火墻的投資以中國信託、國泰世華、玉山金控最積極,投入的成本都有上百萬元規模,民營銀行普遍投資較高,但公股行庫預算保守,第一金與兆豐金是比較肯投入資源,其他的就普通「非常諷刺的是,每個銀行都不覺得自己會出事情,對金融3.0喊的大聲,對資訊安全投入非常小氣。」
去年9月,國內某知名財經媒體網站也遭到駭客攻擊,網站停擺快ㄧ個禮拜,雖然沒辦法和銀行遭受的攻擊相比,但凸顯出國內企業對資訊安全投資普遍不足。
「事實上,公股行庫有的時候不是不想改進,但遇到復雜的招標程序,最後標案往往落到熟悉的廠商手上。」ㄧ名資深的銀行資訊顧問表示,一家國際知名大資訊廠去投標公股行庫標案,屢次失敗,最後被內部人告知「你們要不要去找某家廠商一起合作投標」,照著作,果真才拿到標案,長期下來,使得公股行庫進步緩慢。
資訊安全,應入公司治理
力推政府資訊長四法的民進黨不分區立委余宛如表示,「當我們積極邁入數位國家之際,也表示我們要與資安風險共存。」目前普遍存在民間大型企業對資安有高度的風險意識,但中小企業則受限於資源有限,對這方面的投資是能省則省。
余宛如特別點名公家機構或公股行庫,對資安風險的觀念還停留在「沒出事,沒損失」就當作沒發生。她強調,各機構應把資安長的層級拉高到董事會的階層,並將資安演練列入常規營運事項及公司治理考核項目,才能從根本去解決問題。
