繼2016年孟加拉銀行遭駭客組織入侵,損失高達8700萬美元之後,全球金融產業面臨資安威脅比過去更為嚴重,如2017年4月又爆發北韓針對18個國家和地區銀行發動攻擊,儘管受害情形尚未得知,但也凸顯現今金融交易制度仍然有不夠嚴謹之處,才會給犯罪組織可趁之機。為此,美國紐約州金融廳 (NYDFS)日前發表「銀行業交易監控與制裁名單過濾機制之規範與聲明」(簡稱Part 504)與「金融服務業網路安全要求規範」(23 NYCRR Part 500)相關規則與法案,除要求金融機構應嚴格落實防制洗錢的交易監控機制及制裁名單過濾機制外,亦規範監管金融機構必須以風險基礎訂定網路安全計畫等規範,期望藉此降低資安威脅帶來的衝擊。
安侯企業管理執行副總經理謝昀澤指出,在金融機構網際安全事件頻傳之際,環球銀行金融電信協會(SWIFT)日前也發布「客戶安全計劃」,主要目的就是為金融機構提供安全防護指南,以降低實際面對的網際安全威脅。不過,對台灣金融產業而言,NYDFS法案帶來衝擊更大,代表只要在紐約設有分行的台灣金融業者,都必須符合該法規的規範,建議台灣金融業者應該要完整掌握該法案細節,並及早研擬因應策略,以強化資安風險之控管。
.PNG)
另外,歐盟也在2016年4月27日通過歐盟版個人資料保護規則2016/679,預定將在2018年5月25日起全面施行新法,建議台灣企業也應該要熟悉相關法規,才能避免因觸犯法規,而遭受到高額的罰金。
定時更新修補程式 降低勒索病毒
2017年5月席捲全球的WannCry勒索病毒,儘管是針對微軟已公布Windows漏洞設計的惡意程式,但依然在超過百個國家造成嚴重程度不一災情。台灣因為遭受攻擊時間為星期六,所以受災用戶多半為消費者,僅少部分醫院的行動醫療電腦遭到入侵,但最終沒有影響到寶貴的病患資料。
謝昀澤認為,不可否認,相較於金融、半導體、資訊產業,醫療院所在資安防護能力上確實較弱,對於使用微軟作業系統之醫療儀器,比較沒有定時更新修補程式的習慣。其實,早在2017年3月,微軟便針對該漏洞釋出修補程式,企業或消費用戶有定時更新習慣,基本上不會受到WannaCry勒索病毒的威脅。
安侯企業管理經理林大馗指出,醫療院所對抗勒索病毒最佳方式,首先是定時更新軟體修補程式,才能避免駭客利用漏洞入侵,即便部分電腦使用Windows XP,其實也能夠搭配防火牆等設備,將惡意程式衝擊降到最低,但是在更新軟體修補程式前,也務必要先行測試是否影響功能,以避免發生這次WannaCry勒索病毒事件中,澳洲醫院因緊急更新軟體修補程式影響醫院系統正常運作之情況。其次,在電子病歷去識別化方面,在全球積極投入精準醫療下,醫療院所應該要保護病人權益時,維持病歷資料可被重複利用的能力,否則將失去寶貴的醫療資產。
善用他國經驗 有利發展ISAC
鑑於台灣成為全球遭受駭客組織最頻繁國家,不僅危及整體國家安危,也可能讓民間業者辛苦研發成果付之一炬,甚至會影響到民眾日常生活。為此,行政院有意推動資通安全管理法,以及透過各事業主管機關推動該領域的ISAC (Information Sharing and Analysis Center資安資訊分享與分析中心),讓政府單位與民間業者面臨資安威脅時,能有一套完整應變機制,進而將資安威脅降至最低。
安侯企業管理協理邱述琛認為,無論是資通安全管理法或ISAC,基本上都是值得鼓勵的好政策,但是當實際推動過程中,絕對會面臨敏感資訊分享的挑戰,像是分享資訊類型、分享時機、分享對象、保密責任等等。建議主管機關不妨參考美國或其他先進國家之發展經驗,主動分享公務機關的網際威脅情資,並建立透明化之機制,以提高業者參與ISAC計畫之意願並降低其憂慮,才能將共同建立健全的ISAC機制,降低網際安全威脅。