iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 21
1
Security

資安裁罰案件分析系列 第 21

DAY 21 第十九件裁罰案 金管會保險局裁罰對象:合作金庫人壽保險股份有限公司 裁罰日期:108/8/30

  • 分享至 

  • xImage
  •  

https://ithelp.ithome.com.tw/upload/images/20201004/201074825sq0ykRFud.jpg

《有關資訊安全之違法事項:》
(一)該公司有未依所訂「硬體及系統軟體之購置、使用及維護之控制作業手冊」規定辦理弱點掃描作業及追蹤修補作業,核有礙健全經營之虞。
(二)該公司部分伺服器最高權限帳號管理及內部規範針對不同分類之帳號管理完整性有欠妥適,核有礙健全經營之虞。
(三)該公司電子商務系統及XO壽險核心系統相關伺服器主機安全設定作業,對留存相關稽核紀錄及使用者帳號管理,內部作業未盡完善,核有礙健全經營之虞。
(四)該公司資料庫存取授權未符合最小授權原則,核有礙健全經營之虞。
(五)該公司對存放客戶個資檔案之共用檔案伺服器,檔案可讀取設定欠妥適,核有礙健全經營之虞。
(六)該公司辦理資料異動相關作業,作業程序有欠妥適,核有礙健全經營之虞。
(七)該公司行動裝置應用程式未建立可信任憑證清單及驗證完整憑證鏈,亦未建置偵測行動裝置之機制,核有礙健全經營之虞。

《筆者分析》

這裡出現的七點糾正事項,大部分都有在前面幾家公司裡出現,換句話說,這也是這兩年來,資安的檢查的重點,筆者做以下各點分析說明:

(一) 弱點掃描作業及追蹤修補作業,目前銀行保險業有進行滲透測試,當發現弱點之後,會要求受罰單位追蹤並改善,這部分合庫壽險應是未改善完畢,因此理論上,應該在其內控辦法上,有設定改善期限,而合庫資安部門可能未能於時間內改善完成。
(二) 伺服器最高權限若是有異動,應在規定期間調整其書面權限內容,此外就權限設定之加密或者密碼、帳號管理也應特定人保管,期間也要定期確認帳密的有效性,並依內控規定定期修改密碼。
(三) 稽核紀錄未留存,這部分可以從稽核事件檢視器裡調查,然而為何會無留存,這點實在讓筆者不解。
(四) 資料庫最小授權原則,這個是很基本的設定,前幾篇裁罰事件亦有提到。
(五) 共用檔案伺服器,對外與對內仍要有所區分,例如外部可設定為guest,內部人登入仍要用個人帳密,以便區分,避免未區隔造成內外控管失當,無法查證稽核軌跡。
(六) 內部資料異動,應該有其規定表單填寫,填完需由各級主管簽核後,才能對內部資料進行異動,如果資料機密等級較高者,還需要有後續保密措施,以避免資料外洩。
(七) 所謂憑證鏈(亦稱為信任鏈)

指是一連串的數位憑證,由根憑證為起點,透過層層信任,使終端實體憑證的持有者可以獲得轉授的信任,以證明身分。基於資訊安全的考慮,在進行電子商務或使用政府服務時,交易的另一方用戶,以根憑證為基礎,憑藉對簽發機構的信任,相信當時持有信任鏈終端的憑證持有者確為其人,並透過公開金鑰加密確保通訊保密、透過數位簽章確保內容無誤、以及保證對方無法抵賴。
如果這個憑證鏈未有效的建立,有可能在前段就發生資安事件,例如,根憑證發行是否真的是合庫?會不會被偽造?因此此處合庫壽險應該就其憑證鏈重新審視,如果發現有漏洞,就得重新定義憑證設定流程。

此為糾正案,故無罰款,但七項也是最常見的資安違法事項,重複出現的比率很高。


上一篇
DAY 20 第十八件裁罰案 金管會保險局裁罰對象:三商美邦人壽保險股份有限公司 裁罰日期:108/9/11
下一篇
DAY 22 第二十件裁罰案 金管會保險局裁罰對象:友邦人壽保險股份有限公司 裁罰日期:108/8/16
系列文
資安裁罰案件分析30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

1

我要留言

立即登入留言