《有關資訊安全之違法事項:》
(八)辦理個資外洩之應變演練,尚未就外部網路入侵及非法或異常使用行為所致之個資外洩情境,研擬演練計畫並定期演練及檢討改善,核與個人資料保護法第27條第2項及同條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第10條第3項規定不符。
(九)辦理資安評估作業,有弱點掃描及滲透測試作業範圍尚欠完備,且對掃描發現之漏洞修補及追蹤處理未訂定作業規範等情事,有礙公司健全經營之虞。
《筆者分析》:
裁罰事件這一系列看下來,經查出現所謂的弱點掃描與滲透測試,本年度很多文章都有在模擬這兩項測試,筆者看了一些,有的還蠻有趣的。
因為資安裁罰從2019年下半年才開始浮現多數的裁罰事項,所以早期在看裁罰案時,都是偏向業務面的裁罰,但這段時間,資安跟洗錢防制法推行之後,出現了變化,尤其交易所強化這兩項資安模擬演練之後,開始有這類缺失出現,雖然大部分屬於糾正,但是,這也是好現象,至少由銀行保險帶頭做,再慢慢推行到公開發行公司,建構完整的機制,才能有效地在往後做到通報系統網路的完整建置。
筆者簡單說一下何謂滲透測試,所謂滲透測試,就是找具有專業駭客能力的顧問公司,站在駭客角度對保險或銀行的系統進行攻擊測試,藉以了解保險金融業系統有甚麼漏洞,提供漏洞給金融保險業者,讓業者針對漏洞進行修復,不過滲透測試也有其問題
,首先,專業顧問公司沒有任何測試的標準,訂了標準,就不算駭客了,所以這點尚可理解。第二,由於金融保險業有其特殊性,某些取得的資訊,不見得就是很重要的漏洞。第三,範圍到底要多大?是否部分測試,還是全面測試?且到底次數要執行幾次?時間掌控也很重要,是否要突襲,還是在某段時間內進行測試,這些都要考量的。最後,銀行保險體系很大,到底誰要扛這些缺失?資安還是資訊部門?層級到底要到哪個公司階層?金融保險還是很官僚的,雖然法令都有定規範,但相信實際上還是有落差的。
另一種就是弱點測試,所謂「弱點掃描」就是顧問公司使用一些寫好的駭客常用的程式碼程式,對系統進行檢測,找出所有已知的風險與漏洞。
這種測試就比較依賴測試公司工程師本身的品質,不同公司、不同程式碼、不同種類的規則,都會有不同的結果。因為是程式自動化掃描,可以一次做大規模數量的掃描,但也因為程式自動化,恐有誤報的問題,同時可能也無法提供修補建議。
目前這兩項都是市面上很常見的,想來將來公開發行公司也會進行這兩項測試,本案這兩裁罰也僅是糾正,並未包含在六十萬的罰鍰裡面。
另,罰鍰是行政法的行政處分上的罰款,而罰金這個用語則是用在刑法上。基本上就是罰款,只是法源不同,藉以區別而已。