iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 29
0
Security

資安裁罰案件分析系列 第 29

DAY 29 第二十六件裁罰案 金管會證期局裁罰對象:街口證券投資信託股份有限公司 裁罰日期:109/9/30

https://ithelp.ithome.com.tw/upload/images/20201012/2010748218jw7RwgOz.jpg
https://ithelp.ithome.com.tw/upload/images/20201012/20107482klCZ39fck6.jpghttps://ithelp.ithome.com.tw/upload/images/20201012/2010748275hVDWFAn9.jpghttps://ithelp.ithome.com.tw/upload/images/20201012/20107482R7gNmTy5ZI.jpghttps://ithelp.ithome.com.tw/upload/images/20201012/20107482SZhqqdn8P3.jpghttps://ithelp.ithome.com.tw/upload/images/20201012/20107482DipWJGBuZT.jpghttps://ithelp.ithome.com.tw/upload/images/20201012/20107482s2PFKAPsMN.jpghttps://ithelp.ithome.com.tw/upload/images/20201012/20107482eqCjTmC0WQ.jpghttps://ithelp.ithome.com.tw/upload/images/20201012/20107482ttdKQXYlnq.jpghttps://ithelp.ithome.com.tw/upload/images/20201012/20107482lKMFPttMe9.jpghttps://ithelp.ithome.com.tw/upload/images/20201012/20107482PbLNvF7WQA.jpg
《有關資訊安全之違法事項:》
略。

《筆者分析》

這個裁罰案是最新的裁罰,筆者在DAY 16 第十四件裁罰案就是寫街口投信,當時是銀行局的裁罰案,主要針對電子支付的部分,這次裁罰案確是由證期局出手裁罰,以去年到今年的案子來看,一家公司被兩個局處裁罰的,就只有這一件,這則裁罰案,證期局一出手,就寫了好幾頁,理由也交代得很清楚,大家就仔細看為什麼他們被裁處,而且胡董事長被證期局直接解除職務,前總經理也被停職一個月,這可是繼南山之後,因為系統問題,又一個被停職的案件,之後,胡董事在臉書又不當發文,結果就是同時槓上證期局與銀行局,各大新聞可是有非常詳盡的報導,這麼精彩的案例,大家一定要撥冗讀一讀。

這次證期局的裁罰案件,跟資安關聯,其實還蠻多的,筆者就針對資安部分,做個說明:

(1)有關內控的部分

二、辦理重大營運案,有未提董事會通過,亦無內部簽核程序,且未建立相關內部控制制度,即與他人合作提供類似快速買回之基金墊款服務之違失情事,核有違反證券投資信託事業管理規則第2條第2項及證券暨期貨市場各服務事業建立內部控制制度處理準則第6條規定:
(一)經查街口投信資訊部於109年5月14日就「該公司與電子支付機構之操作介面驗收流程」案,法遵室表示因內容涉及保證收益,不宜驗收上線,由前董事長高○○核定。又內部稽核單位109年7月20日針對託付寶服務出具專案查核報告中亦發現「託付寶易使投資人難以分辨電子支付平台與基金交易平台之區別」、「託付寶使人誤信能保證獲利」等多項缺失。

以上這段,寫得很清楚,筆者用簡單一句話說,公司法遵、稽核單位,你們玩你們的,董事長玩董事長的,你們的建議、警告的缺失,看了也當沒看到。

千萬別以為只有法遵、稽核單位,大家還可以看下一條:

五、未建置系統開發測試作業之內控,致委外開發之系統未經驗收即逕予上線,核有違反證券暨期貨市場各服務事業建立內部控制制度處理準則第6條規定:經查街口投信於108年12月20辦理採購「NEW EC」應用軟體,系統廠商為街口金科,惟未於內部控制制度建立系統測試作業及於委外契約明確訂定公司與委外管理公司業務責任區分,致資訊部於109年5月14日就「公司與電子支付機構之操作介面驗收流程」案,經批核不宜驗收上線,卻於109年5月30日簽請持續與系統廠商進行白名單進行測試,致使委外開發之系統未經驗收及未有測試結果報告,街口託付寶服務於109年7月20日上線仍得逕予連結公司之開戶介面。

接著連資訊部也挨了一記悶棍,由此可知,街口內部沒有所謂的『分工牽制原則』,基本上就是一人決策系統,所以在防錯誤的機制上,就顯得相當薄弱,內控就更不用說了。

(2) 有關監理沙盒(Regulatory Sandbox)的部分:
沙盒(Sandbox)這個名詞是源自電腦安全的用語,定義如下:

沙盒(英語:sandbox,又譯為沙箱)是一種安全機制,為執行中的程式提供的隔離環境。通常是作為一些來源不可信、具破壞力或無法判定程式意圖的程式提供實驗之用。

後來,英國金融業務監理局(Financial Conduct Authority,FCA)在2015年11月提出「監理沙盒」(Regulatory Sandbox)的觀念,主要是為了金融新創事業,不要因為原有的金融法令的規範,而影響創意發展,所以提出了監理沙盒,簡單說,就是例外管理。

根據新聞報導,金管會原來有向街口提出這個方式,但街口認為,自己的資本額不大,不想納入監理沙盒,而且監管時間又長,根本不合乎他們要的快速創新的理念,可是,如果把街口再放回一般金管會監理制度底下,那麼嚴格的金融法令根本讓街口變得更動彈不得,大家也知道,目前在做電子支付的公司,不只有一家,因為街口認為的創新而開大門,那麼其他遵守法令在做業的電子支付公司,是否也可以打著創新的口號,進行各種金融交易呢?

那麼這跟資安有甚麼關係呢? 監理沙盒裡面,其實,每一項新的想法,執行上都要經金管會審視,當然也包含資安監控,不說遠的,個人資料保護是否能做的確實,街口就讓主管機管很不放心了,更別說,街口還有金融相關的其他業務,如果造成重大資安缺失或金融損失,那牽連的單位可能都會跟著一起受罰,在相對保守的金融業,根本不願意為了新創而承擔這類的風險。

以上是筆者針對這個案件的看法,該案一共被開罰300萬,董事長被解職,主要原因是託付寶的問題,筆者針對該案就大概介紹與資安相關的部分。


上一篇
DAY 28 第二十五件裁罰案 金管會銀行局裁罰對象:財金資訊股份有限公司 裁罰日期:108/1/11
下一篇
DAY 30 資安裁罰案件彙整:共26件裁罰案,其中22件保險局,2件證期局,2件銀行局
系列文
資安裁罰案件分析30

尚未有邦友留言

立即登入留言