iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 14
0
Security

資安裁罰案件分析系列 第 14

DAY 14 第十二件裁罰案 金管會保險局裁罰對象:國泰世紀產物保險股份有限公司 裁罰日期:108/12/4

https://ithelp.ithome.com.tw/upload/images/20200926/20107482RsaEXfhvei.jpg

《有關資訊安全之違法事項:》
(一)公司訂定源碼檢測作業細則,惟其規範之內容未臻周延,另有對外服務應用系統未全面清查或檢測使用者帳號、權限等缺失,皆不利作業遵循與網路系統安全之維護,核有礙公司健全經營之虞。
(二)辦理防火牆規則檢視作業,有規範內容尚未包括檢視作業之重點原則項目、檢視範圍不完整等情事;又辦理電子郵件對外傳輸之資料保護管控,有部分未建立過濾阻擋或控管機制、過濾偵測條件欠嚴謹等缺失情節,皆不利資訊安全防護,核有礙公司健全經營之虞。

《筆者分析》

所謂源碼檢測,就是檢視原始程式碼的方式,尋找並指出程式中潛藏的安全性弱點,分析其弱點種類、攻擊路徑等資訊,藉由分析的結果,修改相關的程式以避免程式弱點產生。不過,這種源碼檢視的方式是比較簡單的方式,跟現在鐵人賽中的一些資安參賽筆者們,所操作的滲透測試要簡單多了,同時,在程式開發中隨時都可以修正,但相對就需要ㄧ些比較專業的人來寫程式,並且能夠自行Debug,只是,在成本效益考量上,一般企業較不太願意從頭開發。

本次源碼檢視作業細則不周延的原因,主要是風險等級,弱點未明確定義及未建立弱點等級對應表,所以變成即使找到弱點,也不知道該放到哪一個等級裡面,相應措施及解決方式無法明確訂定。此外,就107年的模擬演練時,該公司的系統被入侵後,所提列的系統改善方式,並沒有包含到外包的應用程式,所以,全部被提列了第一項的缺失。

第二項辦理防火牆檢視作業,主要缺失在於未定期去檢查防火牆狀態,這也說明了,平常MIS要定期檢視報告,並做成資料留存,同時也要定期檢視有問題的IP。該項裡面的最後一個缺失,就是電子郵件的問題,雖然該公司有管控機制,但是過濾條件及郵件阻擋,並非很明確的定義清楚,所以導致公司郵件暴露在危險狀態之中,外部可透過電子郵件入侵或破壞系統。

該裁罰案,主要只有糾正,限期改善並未罰款。筆者認為,制度的建立是資安裡面很重要的一環,技術是會一直推陳出新的,如果沒有制度的建立,可能會產生多頭馬車的狀態,事實上,也會變成很難管理,所以,藉由辦法的制定,讓公司知道何處不足,加緊改善,這也就是制度與流程的重要性。


上一篇
DAY 13 第十一件裁罰案 金管會保險局裁罰對象:宏泰人壽保險股份有限公司 裁罰日期:108/12/6
下一篇
DAY 15 第十三件裁罰案 金管會保險局裁罰對象:南山產物保險股份有限公司 裁罰日期:108/11/29
系列文
資安裁罰案件分析30

尚未有邦友留言

立即登入留言