[精品]勤业众信会计师事务所企业风险管理组副总经理万幼筠

國內金融業因應電腦犯罪的防範現況,勤業眾信會計師事務所企業風險管理組副總經理萬幼筠2006/5/19,Agenda,背景金融業電腦犯罪實例介紹金融業安全防護措施概述所面臨的相關議題,背景,金融業為高度列管的産業相較於其他産業，金融業被視為高度列管的産業，在資安防護上已建立不錯的水平，也累積了相當多的資安處理相關經驗,新巴塞爾資本協定(Basel 2)作業風險管理與資訊安全相關之要求,公開發行公司建立內部控之實施規範,行政院資通安全會報對國內重大產業之列管,電腦處理個人資料保護法,銀行業建立內部控制實施要點,VISA與Master等國際組織對資訊安全之查核要求,金融業電腦犯罪事件仍層出不窮許多的金融業電腦犯罪事例，對民眾的使用信心及金融秩序已造成衝擊,xxxx年xx月，台北市刑大電腦犯罪組則查獲國內首宗網路電子銀行遭駭客入侵網路銀行盜領客戶存款的案件，邱姓嫌犯利用網咖店的電腦破解被害人帳號密碼，成功盜領馬姓民眾一百一十萬元。,某證券交易商被駭客入侵，遭冒名炒作及違約交割，使其他客戶權益嚴重受損,金融業易受電腦犯罪衝擊的主要原因,一旦犯行得逞，所得不法利益多近年來金融機構大幅採用開放式系統架構，有先天上的風險，給予有心人士可乘之機新金融商品不斷推陳出新，大量運用新資訊科技，流程控管嚴謹度與自動化的程度成反比內部資訊作業人員可利用權限劃分上的不良，對資訊系統中所儲存的資料，進行修改和更新，不易被及時發現。內部控制措施的薄弱，給有心分子以可乘之機。所處理業務的快捷性，使案件造成損失的可能性增大。跨行通匯業務的便捷性，使資金匯兌至全國範圍能即時到帳所處理資料量的龐大，一旦有心人士得逞，能短時間內獲取的的量的機密敏感性資料金融業所實施的監督大多採取對既有文件或機制作事後監督，少有即時監抭反應的的機制作業人員資安認知及專業技能認知的不足,與金融機構業務相關之電腦犯罪種類,未經授權的存取阻斷服務攻擊偷竊蓄意破壞，毀損商業間諜行為電腦詐欺挪用公款或盜用客戶存款智財權的侵犯,盜用盜賣客戶資料網路釣魚擾亂金融交易秩序信用卡盜用及詐欺,金融業電腦犯罪實例介紹,金融業電腦犯罪實例 I : 內部行銷人員推廣業務缺乏個人資料處理安全認知，無意中觸法而不自知,金融業電腦犯罪實例 II, 有心人士利用網路釣魚的方式，竊取他人網銀帳號密碼，遂行不法意圖,金融業電腦犯罪實例 III,網路銀行系統開發過程疏失，有心人士利用介面程式的漏洞進行攻擊,金融業電腦犯罪實例 IV,有心人士利用作業系統的漏洞，入侵某金控入口網站，植入木馬程式下載點。民眾一旦造訪此金控入口網站，個人電腦會於不知不覺中被植入木馬程式,金融業安全防護措施概述,國內金融業開始重視科技範疇以外的防範措施,權責分工人員安全與代理機制人員取存管制安全認知,控管政策與流程作業文件與標準流程營運持續規劃法令規章遵循 Basel 2 國內金融法規授權管理Business Contingency Plan積極的安全稽核Liability & Insurance,實體安全系統取存控制電腦與網路安全入侵防禦與事件因應身分驗證技術系統開發與維護備援管理,一但任何一個環節斷裂則安全就不存在,開始著手由作業流程中來辨識重要的保護標的及控管弱點,建置較為系統化，結構化的風險管理機制,1.資訊保護標的,2.資訊作業流程,3.資訊資產收集,4.安全控管選擇,5.資訊安全規範,2,3,5,4,4,1,建置更為全面的安全防護架構,實體性控制,技術性控制,行政性控制,資料和資訊資產,Administrative, technical, and physical controls work in a synergistic manner to protect a companys assets.,採用國際標準(ISO 27001)來建置資安防護架構,其他具體的防範舉措,高層管理階層的允諾及支持積極而主動的委外管理培養資安專業的人才在網路安全上採用主動式的新科技以有效地避免、偵測及反應反制有心人士的不法入侵舉動加強身份認識的機制及技術等級利用較強的加密技術，保護資料的儲存及傳輸法令遵行架構的強化及定期審查緊急應變機制的建立及演練備援及復原機制的建立及演練,所面臨的相關議題,金融業在對抗電腦犯罪方面所面臨的窘境,沒有共通及適當的標準程序，多仰賴過去的實務經驗及外部支援沒有充分的管道及資源來分享成果及事件經驗沒有合適的工具協助作應變，市面上大部份的工具著重在事後分析，無法對進行中的活動進行立即分析國內的相關法