iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 26
1
Security

資安裁罰案件分析系列 第 26

DAY 26 第二十四件裁罰案(1) 金管會保險局裁罰對象:南山人壽保險股份有限公司 裁罰日期:108/5/17

有關於南山案的這個裁罰,筆者想分兩天做說明,南山案的這一系列,的確有很多面向可以討論,境界計畫對於南山來說,最終的結果是失敗收場,但是,卻也變成一個很好的教材。筆者強調,這是『正面』的教材,並非負面的教材,裡面種種缺失,換成是其他人,可能違法事項也不會比南山好太多,甚至可能產生更巨大錯誤,重點是南山境界計畫的負責人,最終還是負責任的扛了下來(雖然是金管會出手重罰),但比之於外面的企業,有的被裁罰還振振有辭的辯解,就讓人觀感就很不好,既違法又愛狡辯,這實在是很要不得。

所以,站在正面的角度看這個個案,筆者是覺得要多從這個個案去了解裡面技術面的問題,鐵人賽裡有很多強調技術面向的未來的工程師,其實平常更應該多去討論實務界裡面應用程式的問題,並且能提出解決方案,不管解決的方法成不成熟,對或不對,有沒有標準,總之能提出一套自己的觀點,這樣才是一個真正具有解決問題能力的技術人才。


https://ithelp.ithome.com.tw/upload/images/20201009/20107482ZstvGC0I78.jpg
(省略)
https://ithelp.ithome.com.tw/upload/images/20201009/20107482SwzKRAWqSm.jpg
https://ithelp.ithome.com.tw/upload/images/20201009/20107482KAfko8d8CS.jpg

《有關資訊安全之違法事項:》
(二) 該公司所訂應用系統安全管理作業手冊及各應用系統開發手冊等規範內容有欠完備,不利確保應用程式變更之正確性及系統維運安全,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第2款規定不符。
(三) 下列二項缺失事項均核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第8款規定不符:

  1. 該公司委託外部資安廠商之網路監控服務,經查其對於控管服務方式之決定有延宕情形。另該公司有未建立非屬重大資安事故事件之處理程序之情事。
  2. 該公司辦理行動裝置應用程式(APP)維護管理作業,所訂關於行動應用程式上架、安全性檢測、發布與更新等作業之規範,有違分工牽制原則。另該公司尚有未依所訂內部規範,定期辦理APP程式原始碼檢測、發行用密碼變更、憑證備份與封存等作業之情事。
    (四) 下列四項缺失事項均核有保險法第149條第1項所定有礙健全經營之虞之情事:
  3. 該公司之資訊安全政策係由總經理核定施行之「資訊安全準則」,未提報董事會,核定層級有欠妥適。
  4. 該公司對於應收集、監控之系統稽核軌跡或日誌紀錄(log)範圍尚未明確規範,及未就安全性資訊與事件管理平台監控所發現異常事件之後續處理程序,明確訂定於系統稽核軌跡或日誌紀錄之相關內部管理規範。
  5. 該公司對資料庫存取授權管理欠妥,未落實最小授權原則。
    4.該公司電子商務系統之部分安全設計項目,未符合所訂內規之安全要求。

《筆者分析》

筆者依以上各違法事項做以下重點說明:

(二) 管理與系統開發手冊的規範內容有欠明確:台灣目前的使用手冊,大部分都只是操作手冊,就疑難排解的部分,都比較少著墨,就算放在官網上,也鮮少有使用手冊更新的這種狀況,修正程式是有,也有簡單說明,但至於說疑難排解的更新,就很少了。同樣的,如果發生資安的問題時,通常大家只能靠google等搜尋引擎去找答案,官網是找不到任何相關解答的,筆者在看discovery空中浩劫的時候,機師在發生危險的時候,通常會趕緊翻閱操作手冊,找尋解決方法。但相對的,如果資安發生問題時,資安部門通常是剉勒蛋,這類手冊編寫,應該請專業人士來撰寫,並且將發生案例彙整後,依照各類發生的事件,提供給使用者在緊急的時候查詢,至少緊急排解時,能有參考的SOP,另外就是,追蹤查詢,也就是舊的資訊還是要保留,也方便使用者對照,這是筆者的一點看法,『疑難排解』其實是使用手冊上面很重要的部分,千萬不可忽視。

(三) 外包之網路控管服務方式有延宕的情況:通常如果網路是外包,通常會要求廠商提供定期的報告,這類有的會透過email或者通訊軟體寄送給公司,這類的報告是要留存下來,主要在於,如果將來系統有問題,如果外包商未通報,可依合約及報告內容進行查核事件軌跡,甚至如果雙方有爭點出現,也可以作為解決爭議的證據。

(四) 資訊安全準則須提報董事會:這也就是說,董事會必須要知道公司資安執行狀況,在董事會的議案內,必須定期對董事、獨董提出報告,這也就是說資安層級已經提升到董事會的階層了,最終核決權限在董事會,所以南山在境界計畫出問題之後,董事跟總稽核才因該條處罰事項的權責提升,因此才會有後面的重大裁罰案,導致南山董事會被金管會嚴重懲處的結果發生。

以上是今天的說明,明天會針對後面幾項,以及今天的一小部分,另外做一篇說明,祝大家國慶連假快樂。


上一篇
DAY 25 第二十三件裁罰案 金管會保險局裁罰對象:台灣產物保險股份有限公司 裁罰日期:108/6/3
下一篇
DAY 27 第二十四件裁罰案(2) 金管會保險局裁罰對象:南山人壽保險股份有限公司 裁罰日期:108/5/17
系列文
資安裁罰案件分析30

尚未有邦友留言

立即登入留言