本網站使用相關技術提供更好的閱讀體驗,同時尊重使用者隱私,點這裡瞭解中央社隱私聲明當您關閉此視窗,代表您同意上述規範。
Your browser does not appear to support Traditional Chinese. Would you like to go to CNA’s English website, “Focus Taiwan" ?
こちらのページは繁体字版です。日本語版「フォーカス台湾」に移動しますか。
中央社一手新聞APP Icon中央社一手新聞APP
下載

遠銀遭駭18億元 金管會列三大缺失

2017/10/12 20:40
請同意我們的隱私權規範,才能啟用聽新聞的功能。
請同意我們的隱私權規範,才能啟用聽新聞的功能。

(中央社記者蔡怡杼台北12日電)金融監督管理委員會表示,遠銀遭駭有三大缺失,一是未落實資安控管SOP,沒有遵循最小授權原則;二是未依規定進行網段隔離;以及第三、事後檢視稽核未落實。

遠東國際商業銀行4日遭駭客匯出約6000美元(約新台幣18億元)跨國匯款,陸續追回4600萬美元並凍結有問題帳戶;斯里蘭卡官員今天表示,當局逮捕2名嫌犯後,尋回遭竊走贓款130多萬美元(約新台幣3952萬元)。

金管會主委顧立雄上午在立法院財委會表示,這次遠東銀行遭駭,主要是因為沒Follow SOP(標準程序)的過程,一旦檢查報告確定,有缺失就會進行相關懲處。

檢查局副局長葉淑媛指出,遠銀對資訊系統的權限管理訂有內部SOP,規範系統主機以及應用系統帳戶的授權,但卻未落實遵循,即在資安管理上,沒有符合最小授權原則,造成高權限的SWIFT(環球財務通訊系統)帳號、密碼遭盜取。

葉淑媛說明,所謂最小授權原則,即系統管理超過授權範圍時,須經過內部一定的控制程序後,才能一步步開放局部的權限,但遠銀一開始給的管理權限卻是最高權限,因此,一旦系統遭駭時,就會做出很多高權限的行為。

葉淑媛進一步指出,金管會有鑒於國外出現SWIFT系統遭駭的情況,於去年9月發函銀行公會,公會於去年底通知本國銀行,要求各家銀行加強對系統的管理、做好網段隔離,並列為各家銀行內部稽核的重點,但遠銀卻「只做半套」,也就是工作站的做法有合規,但主機卻沒有做到網段的隔離。

第三、遠銀內控三道防線的最後防線-內部稽核未確實,也就是,遠銀在事後的檢視沒有做好。

葉淑媛指出,金管會去年發函要求銀行做好系統控管後,SWIFT系統的安全性已列為檢查局金檢的重點項目,但檢查局通常以每兩年一次的頻率對金融機構進行一般金檢,遠銀並非今年金檢對象,檢查局是在遭駭事件爆發後對遠銀金檢時,才發現遠銀未落實內控的第三道防線;相關金檢人員仍在遠銀清查中。

另外,銀行局要求遠銀7天內要交出內部檢討報告,但因為中間卡了幾天的連假,銀行局副局長莊琇媛說,會儘速要求遠銀交報告。1061012

中央社「一手新聞」 app
iOS App下載Android App下載

本網站之文字、圖片及影音,非經授權,不得轉載、公開播送或公開傳輸及利用。

地機族
172.30.142.196