iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 28
1
Security

資安裁罰案件分析系列 第 28

DAY 28 第二十五件裁罰案 金管會銀行局裁罰對象:財金資訊股份有限公司 裁罰日期:108/1/11

https://ithelp.ithome.com.tw/upload/images/20201010/20107482PDi7c9D0w3.jpg
https://ithelp.ithome.com.tw/upload/images/20201010/201074824o7fsaPIen.jpg
https://ithelp.ithome.com.tw/upload/images/20201010/20107482Je9hfiUJZn.jpg

《有關資訊安全之違法事項:》
一、貴公司107年8月18日因IBM大型主機連線管理系統程式異常致中斷ATM跨行服務。
二、對於提供金融服務之資訊系統廠商,未能妥適監督,致跨行系統發生服務中斷事件,貴公司應承擔監督責任。
三、經核貴公司有未妥適維持國家關鍵基礎設施正常運作之虞,違反銀行法第47條之3第1項授權訂定之管理辦法第31條規定。惟經考量貴公司已採取相關措施,依銀行法第132條規定,核處新臺幣150萬元罰鍰。
法令依據:銀行法第47條之3第1項、第132條,管理辦法第31條規定。

《筆者分析》

該案主要是在2018年8月18日早上,所有的網銀、ATM大當機兩小時,造成民眾無法交易的事件,事件始末,大家可以參考蘋果日報當天的新聞及財金資訊股份有限公司的說明,新聞連結如下:
https://tw.appledaily.com/property/20180818/SN6O7JERFOONE5AP5GSNBIO6UQ/

筆者在今年的另一系列篇文章裡面,有寫到備援的簡單介紹,筆者就引用這部分到這個系列裡面,

金融業的備援系統,大致上可以分為下列三種:

(1)同地熱備援機制:即是同一棟辦公室內,有另一個系統待命,只要主系統一出問題,熱備援機制因為皆處於同步熱機狀態,隨時可以切換主系統。
(2)異地備援機制:字面上就可以了解,在不同地方,還有另一個主機在待命,如果發生人為不可控制的風險時,如地震天然災害,隨時可以在1~2小時內,立即切換代替主系統運作。
(3)資料備援裝置:指離線之後,會做離線資料備份的運作,讓資料保存不會因為臨時狀況,造成資料遺失。

在金融業證券裡,大部分的人都知道備援系統的存在,財金資訊被質疑的地方,在於為何切換備援系統需要兩個小時(非天災人為不可控的風險)的時間?這也是讓筆者想不出所以然的地方,因為備援裝置不是第一次切換了,台灣的各大備援系統切換的次數,應該不算少,而且還有每年好幾次的模擬演練,理論上,切換要兩個小時,實在有點難以想像,最後事故裁罰就是150萬元罰緩,應該是不痛不癢的。

大家可不要小看兩小時的時間,兩小時可是包含銀行、金控、郵政、中小企業資金往來、存匯業務、證券轉帳交割…等等的這一些損害,可是有可能達到上億元以上的損失,而且在停宕之間,如果產生系統的漏洞,兩小時的時間,對於入侵的駭客來說,時間上可是非常的充裕,所以才會被資安人員強烈質疑。

筆者認為,發生這類事件,是否備援裡面,應該再納入另一家資訊公司,提供另一套相容的備援系統呢? 資安角度裡面,減低風險是很重要的一個考量點,尤其是金融業更是不可輕忽。


上一篇
DAY 27 第二十四件裁罰案(2) 金管會保險局裁罰對象:南山人壽保險股份有限公司 裁罰日期:108/5/17
下一篇
DAY 29 第二十六件裁罰案 金管會證期局裁罰對象:街口證券投資信託股份有限公司 裁罰日期:109/9/30
系列文
資安裁罰案件分析30

尚未有邦友留言

立即登入留言