iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 15
1
Security

資安裁罰案件分析系列 第 15

DAY 15 第十三件裁罰案 金管會保險局裁罰對象:南山產物保險股份有限公司 裁罰日期:108/11/29

https://ithelp.ithome.com.tw/upload/images/20200928/20107482ykghQI4VT7.jpg

《有關資訊安全之違法事項:》
(五)部分重要應用系統主機之作業系統版本,業經廠商公告停止支援服務尚未完成系統升級或汰換等因應措施不利系統風險控管。另對於連結至正式環境之主機伺服器區前未配置防火牆控管,及辦理網段配置有業務系統之正式與測試作業伺服器混置於同一網段等情事,核有礙健全經營之虞。(筆者註:防火牆網段的問題,已於前幾日文章有提及,故防火牆區段問題,不在複述)

《筆者分析》

南山產險的這個裁罰案,主要是因為廠商已經公告停止系統支援更新的服務,所以沒有進行汰換新系統。南山在2019年因為境界計畫,產生非常大的虧損,因此,短期之內要南山進行更新系統,似乎南山要考慮的點就很多了。

其實這個系統更新的問題,已經糾結已久,如果使用微軟的server系統,微軟並不會強制要求企業用戶必須要更新作業系統,但是,企業也必須考量,如果微軟停止安全更新後,企業是否能承擔資安的風險,如果系統安全沒有疑慮,當然企業也可以選擇不用升級作業系統。

但是企業如果升級,又會遇到軟體也要一併升級(相容性)的問題,因此很多企業都會考量到成本與效益的問題,選擇不更新或升級,然而舊系統又會暴露在資安風險下,即便公司將系統改為內網封閉的狀態,如果經由外部硬體,例如USB,一樣可以破壞系統。

筆者對於這類問題,還是建議企業先針對重要的部分的更新,逐步汰換,而且最好是升級到最新的版本,反正,終究是要全面更新,不如就選擇最新版本,至少可以幾年內,減少資訊人力與成本的支出。只是南山畢竟因為境界計畫的問題,被金管會注意到系統的問題,如果是這樣,還是做好做滿,全面更新吧...

最後,該項裁處,是糾正案,並未包含在裁罰的60萬內。


上一篇
DAY 14 第十二件裁罰案 金管會保險局裁罰對象:國泰世紀產物保險股份有限公司 裁罰日期:108/12/4
下一篇
DAY 16 第十四件裁罰案 金管會銀行局裁罰對象:街口電子支付股份有限公司 裁罰日期:108/11/27
系列文
資安裁罰案件分析30

1 則留言

0
SunAllen
iT邦研究生 1 級 ‧ 2020-09-29 12:19:24

看過那個450萬的案例,就覺得60萬好少...

彭偉鎧 iT邦新手 3 級 ‧ 2020-09-29 13:13:53 檢舉

因為南山境界計畫已經罰了好幾千萬了,折損了一個董事長跟一個稽核長,損失好幾億~~~在罰下去,叫他們怎麼活~~~

我要留言

立即登入留言