【新聞】資安若出包... 顧立雄:要讓銀行付出代價
http://www.chinatimes.com/newspapers/20171019000033-260202
出處:2017年10月19日 工商時報 彭禎伶、魏喬怡/台北報導
遠銀駭客案後,金管會主委顧立雄昨(18)日表示,金管會明年1月底前將完成38家國銀
的專案金檢,確認匯款系統安全;另外,資安將拉高到與防制洗錢同樣強度,若有銀行沒
有落實,將會與監理結合,讓這些銀行「付出代價」、讓他們會感到「痛」!
顧立雄表示,資安做不好的銀行,將可能被計提更多的風險性資本、加收更多存保保費,
也會列入業務申請考量;另外銀行局已評估修銀行法,提高最高罰鍰,同時,對累犯或故
意違反資安規定,將懲處相關人員,「金管會不缺工具,提醒銀行注意」。
對於立委要求金管會應嘗試攻擊銀行各系統,測試是否安全,顧立雄表示,那必須金管會
有足夠人才、有駭客的想法及手段,至於是否對銀行的資安進行壓力測試,顧立雄回應會
找財金公司討論,看是否借用財金較多的資訊人才及平台。
在兆豐美國分行案後,金管會拉高防制洗錢及反資恐的法規強度,顧立雄昨表示,未來會
要求金融機構將資安問題提升到防制洗錢的層級,第一要設置專責資安單位,與資訊處區
分開來,大型行庫要設副總級以上資安長;第二是強化董事會職能,資安單位必須直接對
董事會報告;金管會明年1月前將完成國內38家行的SWIFT(環球銀行間金融電訊網路系統
)的專案金檢,目前已完成24家。
對於不符合相關規定的銀行,若是初犯、非故意,就是罰鍰,但若是累犯、故意行為,除
了罰鍰可能達上限1,000萬元,還會進行人員的處分,即停職、撤職等,顧立雄說:「就
是棒子,金融八業法中這些工具不缺」,他也指示銀行局,檢討修正銀行法提高罰鍰上限
。
立委江永昌也要求金管會半個月內必須交出銀行法提高罰鍰的報告;及財委會昨日亦通過
臨時提案,要求金管會6個月內要完成資安法令建置及資安滲透測試。
至於遠銀案目前就等詳細的金檢報告出爐,再進行相關懲處。顧立雄表示,遠銀是初犯,
但其疏失是貪圖方便、未落實標準作業流程,讓原本可不必發生的案件發生,此案未來將
成為案例,讓所有銀行引以為誡。
(工商時報)
心得:前不久看蘋果日報,新聞說:「綠委余宛如今天在立院舉行
記者會表示,台灣公股銀行的核心系統始於1982年財政部的計
畫,系統超過30年未更新,不僅過舊,防護不易,恐成為駭客
下一個攻擊目標。」
http://www.appledaily.com.tw/realtimenews/article/new/20171017/1223881/
我覺得要衝刺bank.3.0之前,資安還是要先做好。如果開放很多遠端服務,
但資安沒有做好,反而容易成為駭客的肥羊。