《有關資訊安全之違法事項:》
(一)公司訂定源碼檢測作業細則,惟其規範之內容未臻周延,另有對外服務應用系統未全面清查或檢測使用者帳號、權限等缺失,皆不利作業遵循與網路系統安全之維護,核有礙公司健全經營之虞。
(二)辦理防火牆規則檢視作業,有規範內容尚未包括檢視作業之重點原則項目、檢視範圍不完整等情事;又辦理電子郵件對外傳輸之資料保護管控,有部分未建立過濾阻擋或控管機制、過濾偵測條件欠嚴謹等缺失情節,皆不利資訊安全防護,核有礙公司健全經營之虞。
《筆者分析》:
所謂源碼檢測,就是檢視原始程式碼的方式,尋找並指出程式中潛藏的安全性弱點,分析其弱點種類、攻擊路徑等資訊,藉由分析的結果,修改相關的程式以避免程式弱點產生。不過,這種源碼檢視的方式是比較簡單的方式,跟現在鐵人賽中的一些資安參賽筆者們,所操作的滲透測試要簡單多了,同時,在程式開發中隨時都可以修正,但相對就需要ㄧ些比較專業的人來寫程式,並且能夠自行Debug,只是,在成本效益考量上,一般企業較不太願意從頭開發。
本次源碼檢視作業細則不周延的原因,主要是風險等級,弱點未明確定義及未建立弱點等級對應表,所以變成即使找到弱點,也不知道該放到哪一個等級裡面,相應措施及解決方式無法明確訂定。此外,就107年的模擬演練時,該公司的系統被入侵後,所提列的系統改善方式,並沒有包含到外包的應用程式,所以,全部被提列了第一項的缺失。
第二項辦理防火牆檢視作業,主要缺失在於未定期去檢查防火牆狀態,這也說明了,平常MIS要定期檢視報告,並做成資料留存,同時也要定期檢視有問題的IP。該項裡面的最後一個缺失,就是電子郵件的問題,雖然該公司有管控機制,但是過濾條件及郵件阻擋,並非很明確的定義清楚,所以導致公司郵件暴露在危險狀態之中,外部可透過電子郵件入侵或破壞系統。
該裁罰案,主要只有糾正,限期改善並未罰款。筆者認為,制度的建立是資安裡面很重要的一環,技術是會一直推陳出新的,如果沒有制度的建立,可能會產生多頭馬車的狀態,事實上,也會變成很難管理,所以,藉由辦法的制定,讓公司知道何處不足,加緊改善,這也就是制度與流程的重要性。