《前言》
國泰世華商業銀行為公開發行公司,母公司為國泰金控,國泰世華銀行去年有發生ETF系統異常,今年升級時又發生了一次,但是仍將系統異常列入重大資安事件裡。
我們先簡單的看過上述兩項揭露的狀況:(筆者覺得重要的部分)
七、資訊設備:主要資訊系統硬體、軟體之配置及維護、未來開發或購置計畫及緊急備援與安全防護措施。
4.資訊安全部份
(1).EDR端點偵測及回應防護系統導入
(2).應用程式防火牆(WAF) 分流
(3).機器人攻擊防護系統導入
(4).持續強化海外IT維運與資安架構
5.全行業務單位資訊機房智慧監控機制導入
(三)緊急備援與安全防護措施
1.緊急備援措施
(1).主機部份
使用EMC SRDF及IBM PPRC異地備援解決方案,磁碟機透過光纖高速度多工分波器及DWDM高速光纖網路,將本地異動資料同步傳至異地備援中心,以確保異地資料無落差。
(2).開放系統Windows及Linux平台部份
重要之伺服器採用儲域網路(Storage Area Network; SAN)技術進行即時資料異地備援,使本行之重要營運不中斷。
(3).網路部份
在網路系統的異地備援方面,重要之路由器及交換器採用同地Load-Balance方式建置,利用DWDM高速光纖網路連接異地備援中心,以確保客戶連線品質。
2.安全防護措施
在安全防護措施方面,從對外服務系統、各類應用系統主機、端點設備及網路設備等面向,由外到內,採行分層安全防禦機制,搭配各類資安防護系統(如: 高階網路防火牆系統、網站系統防火牆、入侵偵測系統、網站應用程式防火牆、APT防護系統..等),建構全面性資安防禦架構,並採取DDoS攻擊防護及ISP流量清洗服務等,進行網站惡意攻擊之防護。另外再配合智慧型及自動化之資安監控系統機制,以有效防護及監控在網路及系統環境上之安全。此外,本行亦隨時檢視評估本行電腦系統安全架構,全面檢視資訊安全、網管系統、防毒防駭及復原計畫等各層面,期在兼顧安全與便利的原則下,持續進行相對應資訊安全防護強化機制,降低資料外洩與外部惡意入侵威脅之風險,以全面性有效增進本行電腦及網路安全,保障客戶交易服務品質。
八、資通安全管理:
(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
本行於107年3月設置資訊安全專責單位,負責資訊安全政策與管理的規劃、監督及推動執行,並指派副總經理以上或職責相當之人兼任 資訊安全長,綜理資訊安全政策推動及資源調度事務。
本行定期檢視資訊安全政策,並依循母公司國泰金融控股股份有限公司之資訊安全藍圖規劃,做為資訊安全防護實施的指導方針;同時配合產業脈動、新興科技與雲端運用,依循法令、法規、以及自律規範,以落實於內控環境,並維持國際資安認證(ISO 27001、PCIDSS支付卡產業資料安全標準)之證書有效性。除此之外,亦導入美國聯邦金融機構監督委員會網路安全評估工具(FFIEC CAT)進行資安成熟度評估,依評估結果定期檢討及改善,每年也透過獨立的專業顧問執行資訊安全評估作業、白帽道德駭客資安檢測及實施必要之強化措施,以能與時俱進、持續強化本行資訊安全防護能量。
本行為確保資安政策之遵循與推動、督導與協調資安管理工作,成立跨單位之「資訊安全委員會」,由總經理擔任主任委員,邀集資訊相關、法務、法令遵循、風管、資訊安全、數位驅動等單位之督導主管為委員共同組成,並由資訊安全長擔任執行秘書,每半年至少召開一次會議。
配合金管會於109年8月6日發布之「金融資安行動方案」以四年為期進行推動,期能強化金融業資安防護能力,達成安全、便利、營運不中斷的金融服務。其中有關金融機構辦理事項已大致完成,包含設置資安長、遴聘資安諮詢小組、導入國際資安管理標準及取得驗證、辦理資安治理成熟度評估、建置資安監控服務中心機制、鼓勵資安人員取得國際證照、金控建立之電腦資安事件緊急應變小組配合作業、以及導入國際營運持續管理標準及取得驗證等。
(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。
本行進行金融整合前置管理系統(Electronic Funds Transfer, 以下簡稱EFT)及資料庫升級作業,因系統異常,造成ATM部分交易失敗,為補償客戶不便,退還及減免客戶手續費共新台幣$7,149仟元,日後將透過更為完整的擬真測試與變更審議程序,以達到穩定性與正確性測試,以確保系統穩定運作。
《攻擊事件簡述》:
國泰世華銀行一件,主要是該行於去年10月17日進行EFT系統及資料庫升級作業後,隔日發生系統異常,影響網路銀行跨行轉帳交易、自動化服務設備(ATM)存提款、轉帳交易逾時,造成部分交易扣帳未吐鈔、扣帳未入帳、存款未入帳等情況,受影響帳戶數為3萬2,452戶。
為配合新功能上線而進行EFT系統改版,國泰世華銀行於今年2月22日上線時再度於當日發生相同的交易異常情形,受影響帳戶數2,015戶;到了今年3月15日因EFT系統磁碟機陣列資料讀寫出現異常,導致部分交易因處理逾時而失敗,受影響帳戶數則有732戶。
(引用自聯合新聞網:https://udn.com/news/story/7239/6495984 )
《分析》:
國泰世華商業銀行對於資安管理的工作內容,鉅細靡遺,幾乎都有揭露到公司正在進行,以及未來要達成的目標,在一般公發公司可以參考的部分,首先,就是國泰世華商業銀行對於資安設備,他們有單獨的列出,參考上一篇富邦的部分,有兩點可以做為一般發行公司的借鏡:
(1) 投入預算
(2) 資安設備
可以針對這兩點在發行公司股東會年報上揭露,讓股東能夠了解目前公司對於資安投入狀況,當然,不是要比誰投入的錢多,而是讓股東了解為何要投入,就好比國防部要採購任何武器,也要提出報告以及預算一樣的道理,當然相對的也要做說明,讓股東了解一下狀況。
此外,銀行業也有專門的在培訓公司人員的證照與驗證,一般發行公司也可以參考,獎勵公司員工取得相關證照
,並在公司內部舉行內部訓練,並作出簡圖或簡表讓股東了解公司目前內部對於資安意識的訓練狀況。
最後,國泰世華銀行的資安事件,依公司公告的內容以及新聞的報導,應該是系統的問題,而非受到外部攻擊,只是說,在系統更新或升級之時,的確是公司資安最脆弱的時候,所以如果是內部系統異常,金融業還是採取高標的做法,也對客戶作了補償,從這裡來看,一般公發公司應該可以參照這個標準,是否將對外的系統異常列入資安事件範圍之內了。