作者王姿琳╱台北報導 | 中時電子報 – 2016年9月30日 上午5:50
工商時報【王姿琳╱台北報導】
今年暑假以來,全球金融業的資安消息「很熱鬧」,KPMG數位科技安全服務負責人謝昀澤指出,近期的攻擊事件都與財報掠奪有關,即科技竊盜或網路搶劫行為。
而駭客入侵企業也有成本與風險的考量,謝昀澤列出被盯上企業的8大評估標準,建議企業可依標準判斷是否要尋求專家協助。
謝昀澤指出,資安議題可分為3個層次,分別為法遵、風險與營運,就像做健康檢查一樣,從被迫檢查交差了事、感知不對勁後做檢查、到主動運動避免身體不適,目前多數企業仍停留在第一個階段,建議企業透過以下8個標準,評估自身的資訊安全。
謝昀澤分析,目前駭客喜歡攻擊最新與最舊的科技產品,舊科技易被人們遺忘,新科技如物聯網、無人車等,因是新推出的產品,忽略資安風險,常常為了績效而急於搶攻市場,在尚未測試完成前就釋出,即正大張旗鼓投入新興科技業務,或大舉擴張營業據點的公司,容易成為被攻擊的目標。
其次是資訊設備與資安服務招標,偏好採價格標的企業,謝昀澤說,這顯示經營高層並不重視,其資安防護可能像薄網般一攻就破。
第三,雖號稱通過國際標準認證,但卻僅限於資訊單位,這樣的資安防護限縮在小範圍,其他分行或單位則完全沒有概念。
其他易被盯上的特質還有具備國外分支據點,且另有獨立連網閘道;使用者端電腦可連外網,亦可同時進行內部重要系統連線;敏感核心封閉式交易系統,使用TCP╱IP(傳輸控制協定╱網際協定)網路連接;以及防火牆規則超過3個月以上只開不關,或者長期沒有登入管理。
最後,可由資訊人員辦公區域,直接操控網域管理、系統監控或程式變更重要系統的企業,也是容易被攻擊的對象。
KPMG指出,目前轄下受託提供資安諮詢的銀行、證券與保險業者已逾10間,自今年金融業資安議題升溫後,業者對相關業務、尤其是公股銀行,多已轉為資格標,顯示風險意識已逐漸提升。
沒有留言:
張貼留言