歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
行業別生態與資安
2017 / 02 / 20
編輯部
對於證券業來說,今年農曆過年是個多事之秋,被大家所熟知的,就是有十餘家的券商遭到勒索,並且因DDos攻擊而影響正常的運作。另外還包括某家券商在Java Script中,將身分證字號及密碼等敏感性資料以明碼的方式傳送。甚至有人質疑,這次的DDos攻擊,並非是大流量的攻擊,但是為什麼券商沒有任何防禦的能力呢? 我們試著從不同的角度對這次的事件加以解析。
證券業雖然也是金融業,但相較於銀行業而言,證券業的控管相對是比較薄弱的。就法令遵循面而言,銀行業及保險業已陸續進行資訊安全檢測作業,但證券業是表訂今年(2017) 才開始執行這樣業務。
另外以實務作業面而言,很多銀行業執行的資安管控業務,在證券業而言則較不易推動。舉例,大部分的銀行業已經封閉公司對社群媒體的網路連結,但是在證券業而言,要封閉社群媒體卻相對的困難,原因是很多的業務員會在社群媒體上開立粉絲團或專區,利用這樣的方式來指導客戶下單,只要業務員有這樣的聲音:「其它的券商都沒有管這些,也沒有法令說不可以這樣做,如果我不能用,那我就把客戶帶槍投靠到其他券商。」然而,目前股市接近萬點,屬於熱錢交易的時代,除非高層真有這樣的認知,或是主管機關明令禁止,不然很多的資安作業,在證券業的推動相對是困難的。
此外,證券業的客戶有一個特性,就是非常在意處理速度的快慢,很多券商都以速度為優先考量,但追求速度的同時,往往也就會犧牲掉許多的管控方式。早年還有券商將客戶基本資料放在DMZ(非武裝區),目的就是在身分認證完畢後,可以直接將資料送到後端進行交易,節省了中間認證和傳輸的時間。也因此有部分券商,對於這些作業而言,只要維持最基本的,甚至只要做主管機關所要求的基本項目,其他的只要是有可能影響到我作業速度的因素,都不會放到優先處理的順序中。
就DDos攻擊而言,近五年的成長率上升了接近13倍,就企業營運面而言,已經是一個重大的威脅,而且一旦發生,還會影響到公司正常的運作。況且DDos的解決方案又不是ISP業者打開個設定就可以解決的,或是在現有承租的線路中另一個附加選項,但是卻有可能因此而影響到作業的速度,每個月還要多付一筆類似保險費用,請問有幾個高階主管會採取資安人員的建議而去說服業務單位?
對於這些新型態的威脅,不是只有在紙本作業上列出來,然後覺得目前沒有發生就沒有後續的處理,其實在處理的同時,可能還要對行業別的生態做更近一步的考量才會有較為有效的成果。
最新活動
2025.06.25
資安人講堂:構築製造業資安核心 – 零信任架構的落地實戰
2025.06.24
漢昕科技X線上資安黑白講【檔案安全新防線,資料外洩零容忍——企業資安全面升級】2025/6/24全面開講!
2025.06.25
拆解 ISO 27001 報價公式:控好預算、加速資安合規
2025.06.27
以資安及風險角度重塑企業韌性
2025.06.27
以資安及風險角度重塑企業韌性
2025.07.09
AI應用下的資安風險
看更多活動
大家都在看
趨勢科技與Palo Alto Networks 發布多項重要安全更新
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包
Mirai 殭屍網路鎖定 Wazuh 開源資安平台漏洞發動攻擊
大規模暴力破解攻擊鎖定 Apache Tomcat 管理介面
Qilin 勒索軟體集團利用 Fortinet 漏洞發動攻擊 已影響全球 310 家機構
資安人科技網
文章推薦
Jamf發表AI驅動的Apple裝置管理與強化資安功能
EchoLeak 揭示新型態的零點擊AI資安漏洞「LLM範疇突破」
光盾資訊促台日金融資安高層關鍵對話