【資安專欄】資安案例分享
撰文\電算中心資訊網路組 張力允組長
更新日期:2023-12-26 Tuesday
點閱次數:2666
112年11月底,發生某間銀行遭金融監督管理委員會裁罰的事件,金融監督管理委員會因陸續接獲匿名民眾反映該行資訊安全問題,導致1.4萬名客戶資料外洩,經調查後,該銀行確實因為內部管控問題導致資料外洩事件的發生,以下將以該銀行發生事件之4個原因作為借鏡,與大家討論之。
一、未訂定妥適個人電腦管理者權限規定
個人電腦是現在工作上每日會使用到的設備,組織內部應明訂個人電腦使用規定,如:密碼定期變更、密碼長度及複雜度等,且應該要落實執行,避免因為密碼長期未變更,導致密碼被破解的風險。
二、為訂定完善可攜式設備管理規範
可攜式設備包含:平板、筆記型電腦、手機…等,都可歸列為可攜式設備,這些設備如未有效管控,有可能讓內部人員將資料存放於這些設備當中,輕易地將資料攜出,增加敏感性資料外洩的機會。
三、未留存個人資料使用軌跡
資料的存取過程,組織內部應有一套管制規範,如:資訊系統上應有完整紀錄資料的存取紀錄,倘若發生事件後,可從資訊系統紀錄中查找存取狀態,有效尋找事件發生的整體過程。
四、未測試出資安軟體漏洞並確認其執行情形
資訊系統的使用狀態,會因為時間的推移,多少會有漏洞的產生,如果漏洞未進行修補,駭客極有可能透過此漏洞竊取敏感性資料,因此,組織內部應有規範來管理資訊系統的更新程序,其包含:資訊系統漏洞掃描、程式更新程序、漏洞管控…等,這些對資訊系統的安全管控是非常重要的。
任何組織都不願發生資安事件,但如果真正發生事件,後續查找事件發生的緣由就顯得格外重要,若要達到上述狀態,是必須透過日常的程序制訂與落實,才有可能達成,因此,組織導入資安管理制度,制定相關管控程序,讓組織同仁落實於日常生活中,將可強化組織內部的資安管控量能,降低資安事件發生的機率。
Reference:
https://www.ithome.com.tw/news/160048
