《前言》
撞庫事件去年一共在證券業發生三件資安事件,今年也發生至少四件相關的事件,所以金管會是嚴陣以待的面對這個事件,去年的三家券商,其中之一是前例的統一證,再來就是今天的提到的凱基證券,明天也會檢視第三家元大證的股東會年報。
凱基證券是開發金底下的證券公司,從前例統一證來看,如果發生資安事件通常會由公司發佈重訊,但母公司也可以代子公司發佈重訊的
,不過,在公開資訊觀測站上卻沒有看到任何相關的重訊發佈,這是比較令人費解的地方。
我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)
(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
1.邇來資安攻擊事件頻繁,駭客攻擊手法日新月異,主管機關持續大力推動資訊安全,資通安全風險重要性與日俱增。為確保公司營運持續及保障客戶權益,本公司依循法規定期檢視資訊安全政策,因應相關資訊安全的風險管理,同時定期持續取得 ISO27001 的驗證,以完善資通安全風險管理架構,落實資安機制有效性,每年委請第三方進行顧問資通安全評估案進行資安健診,以評估本公司整體資通安全風險。
2.面對內、外部風險不斷提升,資安技術與監控作業持續不斷調整防護手法並精進與優化技術與監控,以隨時因應資安風險變化。110 年度導入委外資安監控中心(SOC)、託管式偵測及回應(MDR)監控與弱點暨情資管理系統,強化網路防護威脅預警及持續性資安監控有效性,提升資安反應能力與資安防護。
3.為持續提升管理階層與資訊資安專業人員技術與意識,每年編列培訓預算,以提升資安人才之專業職能與發展潛力。
(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。
110 年 11 月下旬證券同業市場上陸續發生撞庫下單資安事件,本公司雖有遭受攻擊,該次事件 3 名客戶遭受偽冒下單及部分客戶帳號登入狀態顯示異常,相關資安事件的實質財務損失約合台幣 95 萬元
,惟因監控發現迅速且應變處置得宜,整起事件尚未造成重大影響及損失。針對本次資安事件,公司內部隨即啟動相關強化措施,並同步配合證券交易所之規範積極辦理。事件當日本公司立即調整憑證申請機制,客戶需親自來電申請並確認身分後,方可進行憑證申請,有效遏止事件延燒擴大。後續重新盤點檢視相關電子交易系統,本公司進行一系列強化機制:憑證新增 OTP 認證機制,已於 111 年 1 月上線完成,另系統登入須符合雙因子認證機制,並於 111 年 2 月前上線完成。為防範撞庫攻擊事件發生並達到及時阻斷效果,於本公司網頁應用程序防火牆(WAF),依據撞庫態樣導入自動化監控規則,並將告警導入資安監控中心(SOC),即時監控客戶異常登入與駭客攻擊。另於本公司全球交易中心登入機制新增圖形驗證碼,防止機器人嘗試登入,此外,亦持續關注內外部資安議題,如有發生異常立即採取相應防護措施。
《分析》:
由於去年有三起的證券商撞庫事件,所以金管會也非常關注此事,因此,我們可以從上一家統一證的案例當中看到統一證是比較嚴謹的在處理,但是,凱基證就沒有任何重訊公告,再往上層查詢其母公司開發金(股票代號:2883)也查不到代子公司發布任何相關的新聞稿,因此也只能透過交易所以及媒體的報導才知道發生了撞庫攻擊事件。
我們看凱基證券在股東會年報上面所揭露的事項,應該也只有資安事件有寫到該事件的損失、以及後續依照金管會的要求,並羅列出對應的方法,但是其他部分都不是太完整的揭露。
我們再來看母公司的股東會年報,是有揭露凱基證券未來將預購的資訊設備:
既然母公司的年報上面都有提到,那麼子公司也是公發公司的凱基證券,也應該要在第一項揭露事項的『投入資通安全管理之資源』揭示出同樣的資訊才對,不過,筆者並沒有看到。
此外,比較令人不解的是,母公司開發金是要揭露資通安全管理事項的,但在開發金的股東會年報之內,是沒有看到該揭露事項的出現。
最後,凱基證券並沒有列出公司『資通安全風險管理架構、資通安全政策』這兩項的資訊,所以,公司如何落實公司治理的部分,就無從而知了。因此在資訊及資安的揭露上,母公司與子公司資料都不是揭露得太完整。