https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

委外廠商的安全稽核

2009 / 06 / 29
編輯部
委外廠商的安全稽核
在專業分工、有效配置IT預算的需求下,委外服務市場興起。然而把IT專案委外出去不代表責任全無,把握「3個要求」、「5個注意」才能無後顧之憂。

 
 今天林經理收到老闆從國外寄來的一封電郵,內容大致上是說「美國花旗在美國地區7-Eleven的ATM提款機似乎出問題」,看來老闆在國外度假還不忘注意各種資安新聞,這讓原本可以清閒一下的週末看來又是個幻影。當然,老闆回公司之後一定會問,「我們委外出去的服務與設備是不是有安全管理和定期稽核的機制?」、「公司在這方面的人力現在夠不夠,有無充足的能力訓練?」。不要懷疑,雖然林經理的老闆對資安技術完全不了解,但是自從去聽《資安人》舉辦的資安研討會之後,回來就把這幾句話朗朗上口,因此,林經理也做好了因應措施以備不時之需。

老闆信件內容如下

林經理
駭客突破了美國花旗銀行在7-Eleven商店內部的自動提款機網路,並竊取了客戶的PIN碼。這個事件表明銀行資訊最敏感部分存在一個嚴重的安全漏洞。這起身分盜竊事件損失了數百萬美元。美國紐約地區法院審理案件,共3名被告遭起訴。這種自動提款機基礎設施採用微軟的Windows操作系統,允許機器在網際網路上進行遠端診斷和維修。儘管產業標準要求對PIN進行強大的加密保護,但是,一些操作人員沒有按照規定去做。這些PIN碼是在自動提款機與處理這個交易系統間的傳輸過程中洩漏的。
這起駭客盜竊事件發生2007年10月至2008年3月。目前還不清楚有多少花旗銀行的客戶受到影響。花旗銀行在美國各地的7-Eleven中有5,700台自動提款機。不過,銀行委外管理自動提款機,是由Cardtronics和Fiserv公司負責。
林經理您認為呢?
老總

林經理準備好一封回信

Dear 老總,
看來這個事件問題是出在承包商的資安沒做好,讓壞蛋有機可趁見縫插針,這樣的問題在大中華地區可能更加嚴重。小的我利用週末好好思考了此問題,而且上網做了一些功課。列舉如下:
這次事件矛頭指向承包商,但是因為承包商有2家,看來即將上演責任推諉的戲碼。其中一家Cardtronics號稱最大的ATM 平台供應商,立即在網站上做出資訊消毒的文宣新聞稿,強調他們使用加密過的PIN Card以及3DES加密演算法,外行人可能會被唬住。美中不足的是,在這個危機處理的負面時刻,竟然還拿其他家客戶來做宣傳,客戶恐怕心裡不是滋味,股價也會被拖下水吧!(老總我知道您最關心公司的正面形象與股價)。比起另外一家Fiserv好像啞巴吃了黃蓮,網站上什麼與這次事件相關的資訊都沒有,感覺上有點此地無銀三百兩的味道,這樣薄弱的危機處理,更容易被看穿問題所在,下次如果有資訊稽核一定要好好地給他驗證一下。
參考網站:
http://ir.cardtronics.com/releasedetail.cfm?ReleaseID=319440
http://esolutions.fiserv.com/security.asp
當然,要刮別人鬍子之前一定要先把自己的刮乾淨,我們早已經針對企業內的網路環境、作業系統、應用服務、資料庫與人員,進行相對應的定期安全稽核,稽核計畫如附件(右文)。老總您可以放心度假了。
IT小林

委外廠商的安全稽核計畫

林經理的「委外廠商的安全稽核計畫」包括,對於委外的應用系統開發與第三方服務提供者,必須有「3個要求」、「5個注意」,以達到安內攘外的資安資訊稽核。3個要求如下:

要求1: 必須在簽約時清楚條列安全要求,以應用系統來說,必須在測試階段完成資安相關的驗證,如:身分權限控管、輸入驗證、邏輯驗證等黑白箱測試。上線之前必須完成資安滲透測試報告,作為驗收的條件。

要求2: 定期稽核的注意事項,對於委外服務的供應廠商,必須接受本公司每年不定期的外部稽核,根據不同的委外程度設定稽核的期間長短,涵蓋與本公司相關業務的資料流、處理程序等範圍,作為委外成效的評估標的,以確保本公司核心營運流程及週邊委外項目的安全確保。

要求3: 未達到要求的懲處,以上要求未達預期成效時,必須事前確認違規的懲處條件,一旦發生相關問題責任釐清後,必須坦然接受懲處要求,不得異議。
5個注意針對「IT 稽核」在實行過程中的注意事項,在進行委外安全稽核時必須涵蓋此範圍。

(1) 安全控制與政策:包含資安政策、資料保護政策與密碼政策。

(2) IT服務地圖(Service Map overview)與定期稽核記錄:包含相關資訊系統組態管理與稽核功能的啟動。是否有內部IT稽核角色說明與相關實行記錄,以及最近的資安事件處理報告。

(3) 異常偵測措施與管理:是否有相對應的異常偵測與管理,並且有專人負責定期巡視。

(4) 存取與授權管理及相關實行記錄:含存取與權限管理,尤其高權限用戶的管理規定與實行記錄。

(5) 內部資安意識訓練記錄:對於參與提供委外服務範圍的員工是否有定期的資安意識訓練以及實施的記錄軌跡。