 |
|
 |
|
|
|
所有文章及回文均受到法律、站規管理,網友發文不得因不知相關站規而免除責任。文章內容含有對特定人物、使用者、特定族群進行言詞侮辱、挑釁、威脅、謾罵、歧視、引戰之文章,將視情況嚴重性刪文或修改。含有色情內容、暴力內容、十八禁連結、含不雅文字(髒話)、或是含過多非正體中文、色碼、亂碼導致難以閱讀,一律視情節處理。 |
|
歡迎來到資安人網站,希望關心資安的資安人能夠在不違反版規的情況下,自由自在地發文、回文進行交流,並對各位資安訊息的交流有所幫助。 |
|
如欲爆料請多利用「爆料E-mail」私下與我們聯繫,謝謝! |
|
|
|
|
|
|
| 發表者:編輯部 |
|
|
網路銀行安全糾紛不斷,然而8月份美國法院作出一項判決,認定Citizens Financial Bank因為資安措施不足,未能避免客戶Shames-Yeakel線上銀行登入資料遭冒用而導致發生損失。
事情發生在2007年,有不名人士利用Shames-Yeakel的帳號密碼,登入其在Citizens Financial Bank的產權信貸額度帳戶(equity credit line account),並線上轉出美金26,500元。而銀行根據其與客戶簽訂的條款,不願為任何透過客戶合法帳號密碼所進行的非授權交易負責,並認為該客戶應自行承擔損失。Citizens並指出在保護客戶線上帳戶上已採取了安全措施。而該客戶則認為此一措施並不適當,在資料外洩發生之時(2005年),Citizens只透過帳號密碼作為身分存取控制,而其他銀行當時則有採取雙因素認證、Token等方式進行認證。他們並引述美國Federal Financial Institutions Examination Council (FFIEC)在2005年的文件,該文件清楚指出單因素認證之不足並建議銀行採用雙因素認證。法官認定,雖在2007年Citizens已改採認證防護較強的措施但明顯晚於2005年時FFIEC的規範,因此做出此一判決。
詳細資料請參考:http://www.digitalmedialawyerblog.com/2009/09/shamesyeakel_v_citizens_financ.html 該文為美國專研數位媒體法律的律師在其Blog所發表的文章。
|
|
|
 |
| .................................................................................................. |
|
|
|
 |
 |
駐站專家 王進程:主管機關應制定清楚透明的規則 形成產業良性競爭 |
由內文來看,該文發表的時間點應該還沒完成所有法律程序,最終法院判決為何,也許可以進一步的追蹤,做為參考。不過就目前法官的判決來看,我想關鍵應該是在於FFIEC於2005年對於authentication機制的的建議。如果沒有該文件,恐怕結果會完全不同。
歐美國家對於資安相關的法規的發展,例如PCI等,相對於台灣的法規制度要來的完整及明確。FFIEC的文件對於authentication機制的建議,應該是類似台灣法律的實行細則。是非常明確的執行面規範。但即使如此,銀行仍嘗試根據其網路服務的條款等主張其責任的界線。可見消費者與企業在資安議題上之權利義務,現今仍是處於非常不對等的狀態,因此一般消費者的權益大概只能依賴有限的法律為最後防線。
法律上對於資安的責任,條文多是「…應盡最大的努力來確保資訊安全…」之類的描述。法律條文在制訂時總有些時空背景的因素,也需要顧慮涵蓋層面,難免過於籠統,但重要的是,實行細則或是主管機關之作業辦法的配套措施是否完備?否則只是形同虛設。
所謂「…應盡最大努力…」存在許多解釋空間,就企業方面而言,有良心的企業會問「有什麼地方作的不夠,還有哪些的努力是沒作的?」而其他企業可能會思考 「我已經作了這些…應該已經符合法律要求吧?」這樣的法律並無法幫助消費者在他選擇服務廠商時,分辨企業是否真的「盡了最大努力」 來確保資訊安全。同時對於企業而言,形成一個不公平的競爭環境,良心企業可能付出較高的成本在維護其資訊安全,卻可能無法與精美廣告、豪華辦公室的對手競爭。
因此這也是許多有遠見的國家,為了塑造一個公平競爭的商業環境,特別針對不管是資安或是防弊等議題訂出執行面的規定或辦法。而有些商業組織、區域組織,也為了其商業營運安全、交易公平等目的訂出一些協定等,例如巴塞爾協定等,這些規範協定以不同的角度與資安議題有直接或間接關聯,有些甚至直接定義實際執行面的作法,例如前述FFIEC對於authentication 機制的規定,雖然該文件可能未具體規定採用哪些技術或產品,但是光是定義採用single or two factor authentication就已經訂出一個遊戲規則,畫出一條基準線(Baseline),這樣的作法其實會讓一些事情透明化,對於消費者而言有個參考的依據。相信大部分的消費者只要稍加說明就應該能瞭解single or two factor authentication的差異,而對於採用two-factor authentication也會視為理所當然,因此未採用的企業,可能就會被消費者所自然淘汰,企業為求生存,相信會想辦法遵循,我想這會形成一個良性競爭的環境。
很遺憾的是,台灣以發展科技技術自傲,對於電腦犯罪的管理,卻一直未受到重視,事後補救的法規有限,而預防性的措施更是付之闕如,這樣的判例對於國內企業對於資訊安全管控措施能產生多大的影響,我想是很有限的,但對於執法立法機關而言,應該有些啟示,看看目前國際間對於資安議題的重視與觀念的改變,如果能在往後類似案例的處理上,或是在立法修法的思考上能產生觀念上的改變,對於未來資訊安全的防護的提升,那絕對是正面的。而消費者也應該認知,對於個人資料的保護,隱私權益的維護,應採取更積極的作為,因為消費者懂得要求,就能促使企業或政府更加重視對於資訊安全的防護作為。
|
|
 |
|
|
|
|
駐站專家 謝持恆:某些金融業管理階層 資安觀念仍十分欠缺 |
在歐美等先進國家,整體的資安意識要比臺灣高,同樣的也會要求相關的業者更加注重資安的需求。舉個例子而言,在美國收到新的信用卡,和台灣一樣有開卡作業,但開卡作業第一道驗證的工作,是必須使用當初申請時所登錄的家用電話來進行驗證,而不是任意一支電話就可以進行開卡。如此就降低了卡片遺失而遭人盜用的機率。從這個例子我們瞭解,要做好資安工作,尤其是金融業,不光僅是單純的購買資安商品而已,而是從整個業務流程面進行考量,再搭配適當的產品,才能有相輔相成的效果。
反觀國內的狀況,目前許多單位的觀念,仍然停留在資安業務是資訊單位少數人的工作而已,甚至有些金融單位,還沒有專職的資安人員。也正因為對於資安整體概念不熟悉,日前還有發生某金融機構,在未經當事人同意下,擅自調閱民眾聯徵資料,先是稱內部作業疏失,後又稱無違法情事發生的案例。這都顯示即便是金融業,對於資安的認識,仍有成長的空間,而不應該一味只注重主管機關的檢查項目,或是還將焦點仍放在提款機的亂碼化設備而已。如果上述案例是發生在台灣,很顯然對台灣現行的金融機構,會有很大的衝擊。
雖然新版的個資法尚未通過,但似乎大多數的企業對於新版個資法的影響,尚未進行全面性的評估,更遑論接下來所要採取的因應措施及行動。我們除了希望立委諸公能盡早通過新版的個資法外,對於新版個資法的影響,也要加強的宣導,藉而改變一般大眾(由其是高階管理階層)的想法與觀念。
|
|
|
|
|
|
|
駐站專家 余俊賢:個資外洩嚴重性與時俱增 將阻礙產業發展 |
如果單純從業者的角度來看,政府主管機關很可能不會有太多的要求與作為,以為可以讓業者在拓展電腦網路相關服務時的成本與潛在成本降低。但以現在電腦網路犯罪的嚴重狀況來說,長期潛在成本卻會爆增,因為資安與個資保護的問題是依照暴露的時間而累積不減的,個資被盜走後,流通在詐騙集團與資料黑市,這些資料不會憑空消失,因此其嚴重性是與時俱增。
政府與業者越晚體認到此盲點,所付出的代價將越高,在商業上可能的損失將逐漸侵蝕與阻礙商務發展,甚至可以摧毀一個產業。相對的,擁有顧客的個人資料,應該儘其所能保護它,如果因為管理怠惰而造成資料外洩,應該受到相對的懲罰性賠償或停權,而國外因為法規的強制要求,不僅是同業規範的建議措施,所以法院依法說明消費大眾的權益,將來這種集體訴訟的可能及專家團體與企業的對抗,將大量出現。
|
|
|
|
|
|
 |
| ................................................................................................. |
|
|
回應者 |
雪梅 |
回應時間 |
2009/09/15 09:31 |
回應內容 |
(1)在客戶與銀行的書面文本上,已確認是不做線上交易,因此就算盜用帳戶所早造成的損失,本應該由銀行負責.
主要理由是,銀行竄改客戶可用性,明明沒有要線上交易管道,但銀行卻自行開放.
(2)如果我是客戶,除了會提出損害由銀行負責外,我會反告銀行侵佔我的使用權,擅自更動我的使用方式,我會要求銀行做相關的責任追究與提出賠償.
(3)這家銀行,鬧上的法庭又在網路上出名,企業的形象極度被破壞,客戶群也會極度受到影響.
|
|
|
|
|
|
|
|
|
|
|
|