遠東國際商業銀行因資安漏洞,導致國際駭客入侵一度損失達新台幣 18 億元,後來追回大部分款項,損失在 480 萬元內,但金管會專案檢查仍發現5大資安內控缺失,對遠銀核處 800 萬元罰緩,外界仍認為罰太輕。金管會主委顧立雄今(13)日表示,這事件他最不滿的是遠銀最高權限設置太過寬鬆,導致好幾個帳戶被駭,要求遠銀限期改善,但他也撂重話說,若未改善,下次處分絕對不只這樣。
金管會指出,遠銀在今(2017)年 10 月3日及 10 月5日發現該行系統遭電腦病毒及駭客入侵 SWIFT 系統,產生虛偽交易匯出款項情事,經遠銀清查被匯出款項總金額約 6010 萬美元、折合新台幣 18 億元,之後已追回多數款項,該行損失金額在 16 萬美元、約新台幣 480 萬元以內。
金管會說,經遠銀陳述意見及金管會專案檢查結果,此案有資安防禦機制未完整建置、系統管理者帳號管理欠當、未落實強化 SWIFT 系統安全、未有效傳達法令及未發揮內部控制第三道防線功能,顯示遠銀有未妥適建立或未確實執行對資訊安全的內部控制制度,違反銀行法第 45 條之1第1項規定。
因此,金管會也依銀行法第 129 條第7款規定,核處 800 萬元罰鍰。同時,金管會表示,已請遠銀應提高資安單位層級、充實資安人力,以提升資安風險意識,強化資安制度功能,全面檢討改善資訊安全控管機制,並應盡速委由公正、獨立的外部資安專家檢測所提改善措施及整體資訊安全控管機制的有效性,確實檢討相關人員責任。
不過,外界認為金管會對遠銀罰太輕。顧立雄今日到立法院財委會受訪表示,金管會對此案件最大不滿是最高權限設置太過寬鬆,甚至維修人員都有最高權限,導致很多帳號遭駭植入惡意程式,遠銀必須深切檢討才行。
他還說,金管會已要求遠銀限期改善,未來將觀察2件事情,首先需提高資安專責單位,「這是講真的,不是開玩笑,再來則是在明年一定時間內,需找外部專家做資安管控檢核,並列為檢查重點,遠銀也必須做到。 顧立雄更撂下重話說,若遠銀做不到,未來又發生類似事情,下一次處分絕對不只這樣。
我是廣告 請繼續往下閱讀
金管會說,經遠銀陳述意見及金管會專案檢查結果,此案有資安防禦機制未完整建置、系統管理者帳號管理欠當、未落實強化 SWIFT 系統安全、未有效傳達法令及未發揮內部控制第三道防線功能,顯示遠銀有未妥適建立或未確實執行對資訊安全的內部控制制度,違反銀行法第 45 條之1第1項規定。
因此,金管會也依銀行法第 129 條第7款規定,核處 800 萬元罰鍰。同時,金管會表示,已請遠銀應提高資安單位層級、充實資安人力,以提升資安風險意識,強化資安制度功能,全面檢討改善資訊安全控管機制,並應盡速委由公正、獨立的外部資安專家檢測所提改善措施及整體資訊安全控管機制的有效性,確實檢討相關人員責任。
不過,外界認為金管會對遠銀罰太輕。顧立雄今日到立法院財委會受訪表示,金管會對此案件最大不滿是最高權限設置太過寬鬆,甚至維修人員都有最高權限,導致很多帳號遭駭植入惡意程式,遠銀必須深切檢討才行。
他還說,金管會已要求遠銀限期改善,未來將觀察2件事情,首先需提高資安專責單位,「這是講真的,不是開玩笑,再來則是在明年一定時間內,需找外部專家做資安管控檢核,並列為檢查重點,遠銀也必須做到。 顧立雄更撂下重話說,若遠銀做不到,未來又發生類似事情,下一次處分絕對不只這樣。