《前言》
東捷資訊是一家上櫃且有提供資安服務的公司,去年12月與母公司東元的網頁,同時受到外部攻擊,所以來看看有做資安相關的資訊公司,年報的揭露狀況。
我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)
(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
(一)資通安全管理策略與架構
1. 資訊安全風險管理架構
2. 資訊安全治理制度
3. 具體管理方案
(1) 網路安全:持續更新防火牆設定、入侵防禦設定、及網頁信譽評等,並
導入網路偵測應用,進行封包側錄。郵件具掃毒及阻擋垃圾信件服務。
(2) 裝置安全:每台終端設備皆安裝防毒軟體。遠距辦公需求者,導入
SSL VPN工具,強化遠端工作的安全性。
(3) 系統管理:主要為權限管理。
(4) 供應鏈資訊安全。
(5) 資料安全保護。
(6) 教育訓練與宣導。
(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。
4. 重大資通安全事件
本公司於110年12月20日部分資訊系統遭受駭客網路攻擊,偵測到部分資訊系統遭受駭客網路攻擊,資安部門已全面啟動相關防禦機制與備援作業,同時協調外部資安公司技術專家共同合作處置,於彙集完整異常資料後,通報政府執法部門與資安單位,並保持密切聯繫
。查知網路異常狀態後,立即啟動資安防禦機制與備援回復,同時進行強化資安基礎架構、全面提升網路防護等級及保障資料安全性。
5. 資通安全風險與因應措施
(1) 防止惡意攻擊:
企業資訊安全包含防止電腦病毒、破壞性軟體、勒索軟體入侵,阻斷式服務攻擊等,以干擾公司的營運、甚至進行敲詐或勒索。其途徑包含取得電腦系統控制權,或窺探機密資訊等。這些攻擊可能導致公司因延誤或中斷訂單而需賠償客戶的損失;或需擔負龐大的費用實施補救和改進措施,以加強公司的網路安全系統。
(2) 縱深式防禦資安架構:
強化網路防火牆、入侵防禦偵測設備與網路分區控管,以防止威脅跨設備及跨區域擴散;同時依電腦類型建置端點防毒措施;再者,導入先進的解決方案以偵測與處理惡意威脅;其三,加強釣魚郵件防範宣導,強化員工郵件安全意識,以降低威脅及惡意攻擊所帶來的影響。
《攻擊事件簡述》:
根據報導,東捷資訊與母公司東元大概是同時間受到外部攻擊,主要是公司網頁會跳轉至ErrorPage的狀態。
(引用iThome:https://www.ithome.com.tw/news/148473)
《分析》:
東捷資訊主要有從事資安顧問服務的工作,所以很快的就匯集資料,並通報了主管機關,不過,還是不知道他到底是受到何種攻擊,母公司東元的股東會年報,對於資通安全管理,也僅揭露以下資訊。
筆者目前為止,檢視將110年度有遭受資安事件的公司,有關資通安全管理的揭漏情況,可以得到一個結論,就是:並未充分揭露,或者說根本不知道為何會受到外部攻擊,所以無法明確的敘明實際情況。
股東會年報是一個讓外部能夠了解公司政策的管道之一,我們可以看到有的公司就比較無所謂,大概就是等著參考別家的寫法,之後改進,僅有少數公司是很嚴謹的去面對資安事件,所以資通安全管理部分寫的就比較詳細。
大家會問,到底甚麼是充分揭露呢?
筆者從下一篇開始,還是會舉幾個比較嚴謹的金控業作為案例分享,並且簡述比較後差異重點,同時也會列舉出行政院的報告給大家參考。希望能夠對發行公司有所助益。
總之,我們其實不難發現,前述的這些案例中的這些公司是否真的投入,以及公司治理的嚴謹度,基本上,就單從資通管理部分,大概也可以判斷出公司對於公司資理的態度了! 如果這部分都做不好,那麼其他的部分,就不予置評了。