iT邦幫忙

2025 iThome 鐵人賽

DAY 26
1
Security

企業資訊韌性實例分析系列 第 26

DAY 26 資訊韌性實例分析25— 統振(櫃通訊網路;股票代號:6170)

  • 分享至 

  • xImage
  •  

一、企業背景與產業環境

統振股份有限公司(櫃通訊網路;股票代號:6170)創立於1977年,並於2002年掛牌上櫃,隸屬「櫃買通訊網路類股」。其主要業務包括:

• 行動電話預付卡與網路遊戲儲值卡銷售
• 電信小額付費與外籍移工匯款服務
• 子公司經營電信器材、食品、化妝品與旅遊票務等多元業務

統振深耕通訊與支付領域,尤其在移工市場具高度滲透率,業務上已深度涉入金融沙盒領域,特別是移工匯款、小額支付、電信加值金流等服務,屬於「通訊服務+金融科技」混合型企業,資訊系統涵蓋交易、身份驗證、金流處理與客戶資料管理,資安韌性直接關係到服務穩定性與信任維護。

二、資訊韌性切入角度

(1) 統振於114/08/22在公開資訊觀測站所發佈之重訊:
https://ithelp.ithome.com.tw/upload/images/20251009/20107482BJ2wsSrIul.jpg

(2) 引用2025/08/22 LTN財富自由新聞網報導:https://stock.ltn.com.tw/article/2gsyfetkq25f

三、韌性策略與實際狀況

根據財富自由新聞網的報導,駭客組織「麒麟」(Qilin)近日在暗網上宣布,台灣移工匯兌公司統振成為其攻擊目標,並聲稱已竊取該公司超過70萬客戶的資料,包含姓名、電話、生日、密碼、居留證號,甚至連自拍照也淪為駭客的籌碼,並附上相關圖片證明。

內容也引述某資安專家分析指出,台灣金融服務業與中小型外包業者,往往面臨資安預算有限、防護不足的現實,但同時掌握大量高價值的客戶資料。對國際駭客而言,這正是一個「低成本、高收益」的理想目標,而此次受害的移工匯兌公司,正好踩中這個資安弱點。

因此即使對統振營運沒有影響,然而若涉及外籍移工的個人資料外洩,其潛在風險已超越企業層級,可能引發國家安全層面的危機

四、制度與文化支撐

(1) 由於統振的業務性質較複雜,因此,我們就來看一下統振2024年永續報告書上,重大主題館裡目標與績效的部分:
https://ithelp.ithome.com.tw/upload/images/20251009/20107482shVHVY431Z.jpg

從上面幾個重要議題來看,統振其實也很了解本身業務的複雜性,加上其行業是屬於金融沙盒監管事業,因此各項議題其實都是有相關聯的。

五、筆者看法及觀點

統振公司的業務是有關於金融監理沙盒性質的公司,我們先解釋一下何謂金融監理沙盒

以下引用維基百科上的說明:(相關連結https://zh.wikipedia.org/zh-tw/%E9%87%91%E8%9E%8D%E7%9B%A3%E7%90%86%E6%B2%99%E7%9B%92 )

金融監理沙盒之構想源於讓孩子於一個安全的沙池中玩耍、發揮創意之概念。係指於風險規模得以辨識可控之模擬環境下,讓業者盡情測試其創新產品或服務乃至於商業模式,並與監理者進行高度互動、密切協作,共同解決實驗過程中所發現或產生之監理與法制面議題。亦即,透過金融監理沙盒機制之設計,可將創新金融科技對於法律、市場、競爭樣態、消費者保護等議題,設計於得受到控制並改正之監理範圍內,以進行實驗之方式,解決創新金融商品或服務所帶來之法制與市場衝擊。

統振公司的業務因為有其特殊性,且因為有牽涉到境外金融與匯兌的問題,所以該公司外籍移工的個資等於公司極機密的商業祕密,同時,這些外籍移工的的個資,不僅包含身份資訊、聯絡方式與匯款紀錄,更可能牽涉跨境金流、通訊行為與社群網絡,一旦遭惡意利用,可能成為境外勢力滲透、詐騙或操控的管道。

我們從統振的永續報告書所揭露的公司重大主題與目標,整理出統振公司資安韌性的幾項重點:

  1. 金流完整性與交易防偽
•	涉及跨境匯款與電信小額支付,需確保交易資料不被竄改、重播或偽造。
•	建議導入 端對端加密、交易簽章驗證、行為異常偵測模型。
•	金流系統應具備 即時監控與風險分級機制,防止洗錢或詐欺行為。
  1. API安全與第三方串接風險
•	金融沙盒架構常仰賴 API 串接第三方服務(如電信商、支付平台、匯款機構)。
•	必須強化 API存取控管、速率限制、OAuth2.0/Token驗證機制。
•	建議建立 API風險評估流程,並納入資安稽核範疇。
  1. 身份驗證與帳號安全
•	移工族群常使用簡化登入流程,若驗證機制過於鬆散,易成攻擊目標。
•	應導入 多因子驗證(MFA)、生物辨識或行為驗證,提升帳號安全性。
•	建議設計 動態風險評估登入機制,根據地理位置、設備指紋等判斷風險。
  1. 營運不中斷與備援韌性
•	金融沙盒服務多為即時性,系統中斷將直接影響用戶交易與信任。
•	建議建立 高可用性架構(HA)、異地備援機制、自動故障轉移設計。
•	官網與APP應具備 資訊不中斷通報模組,即使主系統異常仍能維持基本揭露。
  1. 法遵與揭露透明度
•	涉及金流與個資,需符合《個資法》、《洗錢防制法》、《金融資安指引》等規範。
•	建議建立 資安事件揭露SOP,並納入年報或永續報告揭露架構。
•	若參與金融沙盒試驗,應主動揭露資安設計與風險控管機制,強化社會信任。

綜上,在台灣移工人口已突破70萬人、且多仰賴數位平台進行匯款與通訊的情境下,統振這類企業所掌握的資料已具備「準公共基礎設施」的性質。若資安防護不足,不僅可能造成移工個人財務與人身風險,更可能影響國內勞動穩定、社會信任與跨境治理。

因此,建議主管機關應將此類「通訊+金融科技」混合型企業納入高風險資安監管範疇,並要求:

•	建立移工個資保護專章與風險揭露機制;
•	導入零信任架構與行為分析模型,強化異常偵測;
•	將資安事件納入重大訊息通報與永續報告揭露;
•	強化與政府資安平台之通報協作。

以上給大家做參考!


上一篇
DAY 25 資訊韌性實例分析24— 大眾控(上市電腦週邊;股票代號:3701)
系列文
企業資訊韌性實例分析26
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言