Gogolook(上市數位雲端;股票代號:6902)為台灣上市的資安科技公司,專注於防詐騙、通訊安全與數位信任服務,旗下產品如 Whoscall、貸鼠金融、HKJunkCall 等,涵蓋台灣與香港市場。其資訊系統承載大量用戶資料、通訊紀錄與 API 服務,資安韌性直接關係到平台信任與商業穩定。
(1) Gogolook於113/06/04在公開資訊觀測站所發佈之重訊:
(2) 參考2024年報上所揭露的另一件發生在113/05/23的資安事件,如下圖:
Gogolook 在2024/06/04事件發生後,依據證交所資安揭露規定進行重大訊息通報,此外,香港的網頁於2024/05/23所發生的資安事件,經查詢該公司的重訊並未有相關公告,但卻在2024年股東會年報才出現說明,本以為只是較晚發布重訊,然從股東會年報上才得知其實是兩件不同的資安事件。
Gogolook 的資安事件處理展現出一定的制度韌性與文化成熟,但揭露節奏與標準不一致,反映出治理架構仍有斷層存在。
以上兩張圖,分別是永續報告書及股東會年報所揭露在資安上面的資安管理面的資訊,由於公司本身也是與資訊安全相關產業,因此由於產業特性,Gogolook其實在政策文化上,就應該有資安的精神存在,並且應該比其他公司更加優化與更新。
這次事件,其實有些灰色地帶的問題,113/05/23為何沒有發佈HKjunkcall重訊?這實在讓人有點摸不著頭緒,但因為該次資安事件的整體來龍去脈只能從字面上推測,實際相關的訊息幾乎沒有看到,因此到底是漏掉重訊公告?還是主動在年報上多揭露?這個只能由主管機關判斷了。
當然,假設公司是真的有具備「小事也揭露」的意識,只要在規定範圍內,能這樣做當然是最好的。然而,若揭露節奏與標準不一致,將使文化韌性無法轉化為外部信任。就如同筆者也是有點霧裡看花一樣為此,建議 Gogolook 應:
• 建立資安事件揭露準則:明確定義何種事件需即時通報、何種可延後揭露,並公開準則以建立一致性。
• 推動揭露透明化制度:即使事件影響輕微,也應在第一時間在網頁公告方式主動說明,避免資訊落差。
• 強化跨市場資安治理一致性:香港、台灣等不同市場的資安事件應納入統一治理架構,避免制度斷層。
• 建立事件後分析報告制度:不僅揭露事件本身,更應說明改善措施與制度反思,形成治理閉環。
接著,探討一下Gogolook的這兩起資安事件,由於Gogolook的兩起事件皆發生於「非核心系統」(如部落格、專欄網站),但這類介面往往是攻擊者的跳板
,若企業因系統不是太重要,就忽略其重要性,很容易形成「低風險錯覺」,導致攻擊擴散至主系統
。企業的資安韌性其最好具備「全域風險感知」,而非僅針對核心資料庫進行防護。如果Gogolook沒有建立統一的風險評估與防禦標準,整體防線就可能會出現破口。
總之,Gogolook 的資安事件處理展現出一定的制度韌性與文化成熟,但揭露節奏與標準不一致,反映出治理架構仍有斷層。如果公司能夠再強化制度及法律遵循的部分
,將有助於公司的資訊韌性更加成熟。
以上給大家做參考!