《前言》
中鴻鋼鐵是屬於傳統產業的企業,去年公司有公告發生資安事件的重訊,不過僅知道公司是備份的伺服器遭受外部攻擊,傳產雖然不如電子、資訊、金融等產業這般受到重視,但是,也就是這樣,中鴻的案例才能給傳產一個警示,以及變成一個重要的案例分享,所以,這是一個很重要的產業案例。
我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)
(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
(一)資通安全風險管理架構、資通安全政策、具體管理方案極投入資通安全管理之資源,均以提高資通穩定安全為指導方針。
1.資通安全風險管理架構
設立『資訊安全委員會』,下轄四組,統籌資訊安全極保互相關政策制定、執行、風險管理與遵循度查核,每季由召集人召開會議檢討執行情形,如召集人不能出習由副召集人
(召集人指派),每年定期向董事會報告執行情形。
2.資通安全政策
(1)資訊安全管理策略與架構 :主要分成『目的』、『範圍』、『目標』、『策略』與『審查』五項。
(2)資訊安全風險管理與持續改善架構
(3)具體管理方案
(4)投入資通安全管理之資源
110年推動執行的成果:
A. 召開兩次資安委員會議。
B. 購入資安產品。
C. 各廠區IT與OT網段間以防火牆設備區隔建置。
D. 實際查核情況。
E. 安全宣導。
(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。
中鴻公司於110年10月27日,輔助性伺服器遭受病毒攻擊,公司已於第一時間啟動資安防禦,並對網路攻擊進行檢查,亦同步持續檢視並強化現有的基礎架構,全面提升網路安全,以保護資料安全及完整性,該次資通安全事件對公司生產、銷售及日常營運未受影響。
《分析》:
鋼鐵業是比較屬於傳統的產業,基本上就政策來說,公司強調『提高穩定安全』的方向是沒錯的,只不過,網路攻擊是不可能給企業有任何機會穩定與安全的,所謂提高穩定安全,是針對公司內部使用者而言的,並非具有外部資通管理效益。
其次,在資通安全管理架構內,提出了代理人制度,這是有必要的,也是非常好的作法,但是組織圖底下四個具有代理人資格的副召集人,雖然都與資通安全相關,這些人的資格條件,如何審視及規定,以及是否有送交董事會或審計委員會作資格審查,這在內容當中並未說明,當然,如果在發生資通安全事件時,可是沒有任何差別的攻擊,因此,每個資訊安全委員會的成員,其實都得要隨時待命,並在要緊時刻,解決問題,所以前期的資格審查就要審慎,免得發生事情時的慌亂。
接著再來看具體管理方案,電腦防毒資訊的問題,公司政策似乎是自動更新病毒碼,不過,有的公司因為考量到頻寬的問題,所以,不少是由Server端來統一進行更新的,並且透過網段區隔來更新。從中鴻的內容來看,中鴻的方式是採用自動更新的方式,應該屬於統一由伺服器一起更新,而不區分網段,但是如果當中有員工的電腦已經中毒,就會出現全部公司都被感染。這也是公司需要注意的地方之一。
最後,110年發生的資安事件,從描述中,看到的是輔助性的伺服器受到攻擊,所以是備份用的伺服器受到入侵,但是看敘述似乎也不知道是何種方式進行攻擊,這也就是今年度股東會年報揭露的資通事件最大的問題,大家都霧裡看花,並沒有交代清楚,外部新聞詢問公司,公司也僅交代公司未有損失,似乎也不太願意或者根本不曉得是甚麼樣的攻擊,因此,未來法令是否要再修正,就看立法單位對於資安揭露是否增列後續追蹤及處理的機制了。