【新聞】資安若出包... 顧立雄：要讓銀行付出代價
http://www.chinatimes.com/newspapers/20171019000033-260202
出處：2017年10月19日 工商時報 彭禎伶、魏喬怡／台北報導
遠銀駭客案後，金管會主委顧立雄昨（18）日表示，金管會明年1月底前將完成38家國銀
的專案金檢，確認匯款系統安全；另外，資安將拉高到與防制洗錢同樣強度，若有銀行沒
有落實，將會與監理結合，讓這些銀行「付出代價」、讓他們會感到「痛」！
顧立雄表示，資安做不好的銀行，將可能被計提更多的風險性資本、加收更多存保保費，
也會列入業務申請考量；另外銀行局已評估修銀行法，提高最高罰鍰，同時，對累犯或故
意違反資安規定，將懲處相關人員，「金管會不缺工具，提醒銀行注意」。
對於立委要求金管會應嘗試攻擊銀行各系統，測試是否安全，顧立雄表示，那必須金管會
有足夠人才、有駭客的想法及手段，至於是否對銀行的資安進行壓力測試，顧立雄回應會
找財金公司討論，看是否借用財金較多的資訊人才及平台。
在兆豐美國分行案後，金管會拉高防制洗錢及反資恐的法規強度，顧立雄昨表示，未來會
要求金融機構將資安問題提升到防制洗錢的層級，第一要設置專責資安單位，與資訊處區
分開來，大型行庫要設副總級以上資安長；第二是強化董事會職能，資安單位必須直接對
董事會報告；金管會明年1月前將完成國內38家行的SWIFT（環球銀行間金融電訊網路系統
）的專案金檢，目前已完成24家。
對於不符合相關規定的銀行，若是初犯、非故意，就是罰鍰，但若是累犯、故意行為，除
了罰鍰可能達上限1,000萬元，還會進行人員的處分，即停職、撤職等，顧立雄說：「就
是棒子，金融八業法中這些工具不缺」，他也指示銀行局，檢討修正銀行法提高罰鍰上限
。
立委江永昌也要求金管會半個月內必須交出銀行法提高罰鍰的報告；及財委會昨日亦通過
臨時提案，要求金管會6個月內要完成資安法令建置及資安滲透測試。
至於遠銀案目前就等詳細的金檢報告出爐，再進行相關懲處。顧立雄表示，遠銀是初犯，
但其疏失是貪圖方便、未落實標準作業流程，讓原本可不必發生的案件發生，此案未來將
成為案例，讓所有銀行引以為誡。
(工商時報)
心得：前不久看蘋果日報，新聞說：「綠委余宛如今天在立院舉行
記者會表示，台灣公股銀行的核心系統始於1982年財政部的計
畫，系統超過30年未更新，不僅過舊，防護不易，恐成為駭客
下一個攻擊目標。」
http://www.appledaily.com.tw/realtimenews/article/new/20171017/1223881/
我覺得要衝刺bank.3.0之前，資安還是要先做好。如果開放很多遠端服務，
但資安沒有做好，反而容易成為駭客的肥羊。

怕.jpg

屁,.jpg

我好怕喔 https://i.imgur.com/2vbdSMB.jpg

最廢就是財金 第二票交

乾話？

有機會更新核心系統了嗎

金管會主委講的話一般人可以當幹話，但高層不敢只當幹話聽XD

就社會的角度當然是正常的 但資訊人員當然就會怕怕的

女孩子被性騷怪女孩子穿太露，什麼鬼邏輯，怎不抓壞人或把罰則加重。遠銀18億若追不回來難道遠銀敢不賠客戶！賠了再被金管會姦一次，最高1,000萬罰鍰。

找財金是請鬼拿藥單吧 好歹也找TWCA

靠財金公司痾...我笑了

財金在資安圈很有名 但好像不是好事

找財金...呵呵

堂堂一個金管會主委，想法竟然不是說要加強資安問題，輔導不足的銀行，結果竟然是說要讓銀行付出代價，是怎樣，中共派來的嗎？身為一個主管機關，把管轄的銀行當敵人可以拜託他先受訓實習個幾年之後再來當金管會主委嗎

銀行是特許行業，本來就有責任保護好民眾存款，沒做好難道不用罰？不懂樓上二位在悲糞三小還拿女孩子被騷擾來比喻，真是好高的文化水準真要說的話，女孩子應該是我們民眾的血汗錢，銀行是保鏢，你保鏢未盡責讓女孩子被騷擾，難道不用被開除？

他是把銀行當成犯人來對待?

顧立雄一上台就只會一直罵銀行 自己連銀行核心業務都不知有沒有很像那種只會罵人不懂業務的經理?

讓顧這種沒財金專業的當金管會頭頭真的超瞎

要看是甚麼狀況吧 符合資格的資安人員難養成(不是指一般不會寫程式的、只想做文書行政就丟去管資安)，難養又容易被罵，一昧打擊士氣這樣不太好，走了也不容易找到人顧也不懂資訊資安 他只是跟著鄉民一起鬧 突然就變主委了

現在流行外行領導內行

真跩

跟奧客有87成像

s1224，所以哪家銀行沒保管好你的錢讓你損失了阿？憤都不會寫還敢批評別人文化水準，笑死人

純噓悲糞 哈哈哈

主管機關的主委竟然不是用輔導而是用看犯人的心態!把銀行類比為女性這是什麼神邏輯?

內行領導外行 搬弄是非外還張牙舞爪

這言論符合顧主委程度，未來應該會聽到更多吧

腦包

87

檢討受害人最會

懲罰是拔網路線嗎？

明明就是遠銀自己便宜行事 管控不佳如果今天已經做到符合法規要求的防護 還被駭入就算了但遠銀是這樣嗎? 怎麼有一堆人不了解此案的肇因竟然還有人說懲罰受害者? 這是甚麼奇觀邏輯"SWIFT平台，沒跟銀行內部系統主機，做明確區隔""每筆巨額匯款，竟然沒有人工複核"這叫做懲罰受害者? 這會不會太好笑了

很多銀行從業人員沒有法律素養 不用太認真

推上面K大 受款行其實有發現電文有問題 遠銀也沒有確實複核 這不單是資安 已經是內控問題了 被罰正常

遠銀這根本小CASE 沒看到香蕉洗錢洗這麻大 都沒在怕的

以目前很多銀行系統之老舊跟IT人員程度之差，早就該管了

身為銀行IT 我覺得顧立雄或許不是體制內 但部分銀行視資訊單位就是個成本支出不會創造利潤的累贅觀念還是有的 身為一個小主管想推動各種都不行 累

內控有問題還是受害者阿，不然是什麼者？火影忍者喔…不去處理犯罪集團只會修理銀行還一堆人認為很合理，我想各位應該也可以接受家中財務失竊警察反而開罰單怪你沒有把門窗鎖好吧

處理犯罪集團是司法單位的事 金管會是司法單位嗎?你的邏輯在哪裡?你是要金管會去逮捕駭客嗎?金管會依法就是處理金融業的行為是否合規所以你的意思是要金管會違法追查犯罪集團笑死人了還甚麼警察開罰單? 在你舉的例子裡面 金管會是警察嗎?金管會是司法單位嗎?笑死人了

沒知識，滾

你連金管會的職責是甚麼都不知道 你要不要去翻法規我給你三天的時間去翻法規 去找出來金管會可以處理犯罪犯罪集團的法規

K大，我語氣太嗆我先道歉，但我還是不能認同金管會本末倒置的做法…金管會不能處理那可以尋求別的機關協助處理。而資安人員缺乏的情況下應該要找業者開會討論如何輔導金融機構，而非讓銀行感覺到痛。臺灣的金融機構不需要一個只會罰錢的主委，只要罰錢那請個國中生當主委就好了，出大包罰大錢小包罰小錢，罰錢的做法只讓人感覺在做秀，3仟萬只有小銀行會痛，大銀行不痛不癢