資安管理的內外全面挑戰:從KKday與京鼎事件看資安管理體系的建置及法遵合規要求

更新於 發佈於 閱讀時間約 6 分鐘

在數位時代,資訊安全已成為企業不可或缺的防線🧱。

近期,我們可以從新聞媒體上看到兩起顯著的資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部的駭客攻破防線而受到高調勒索👾。

以這兩起資安事件為鑑,除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。

(這些法遵義務大多是針對公開發行公司所制定,但對於中小企業而言,資安風險並不會因為企業規模大小而改變,因此仍是建議將該些法遵要求納入管理體制的建立方向,務實且積極地推動。)

Information Security

Information Security

參考資料:金管會近期積極推動強化上市(櫃)公司資通安全管理之措施,金融監督管理委員會

【KKday:內部資安威脅的啟示】

KKday的案件源自一名前員工在跳槽至競爭對手Klook後,涉嫌利用非法手段竊取KKday的內部資料。

該名前員工被控利用其過往的職位便利,取得多組員工帳密,非法侵入KKday後台系統多次,竊取了供應商系統設計、供應商資料、商品品項、銷售數量、銷售期間、成本金額、訂單金額及總額、訂單分析等重要商業機密。

該前員工不僅自行侵入KKday後台系統,還將獲得的帳號密碼分享給Klook的其他員工,用於提升Klook自家的營業📈。

這事件凸顯出了企業在內部管理上的資安漏洞,尤其是當員工離職並轉至競爭對手時,他們對前雇主系統的瞭解可能成為嚴重的安全隱患,此時對於企業來說內部系統權限的管理和敏感資料的保護至關重要。

這種類型的內部威脅要求企業平時就必須有嚴格的內部控制和監督機制,防止員工不當洩漏、利用營業秘密,也避免商業間諜埋入木馬或是後門。

進一步更需要注意在員工離職後,對於資訊系統存取權限管理的重要性。

企業必須建立強化的內部監控機制,包括定期更改密碼、監控不尋常的系統存取行為,以及加強員工對資安意識的教育訓練,以保護其商業機密和敏感數據

新聞報導:Klook副總監涉竊取前東家KKday營業秘密 北檢今起訴3人 | 聯合新聞網
新聞報導:KKday商業機密頻遭竊 跳槽同業經理涉案北檢起訴 | 社會 | 中央社 CNA

【京鼎:外部網路攻擊的警鐘】

與KKday的內部資安威脅不同,京鼎所面臨的是外部網路攻擊🚨。駭客入侵京鼎的系統,聲稱已竊取公司內部高達5Tb的大量資料,並在多次電郵勒索未果後,直接高調挾持京鼎網站的網域(推測是竄改DNS解析結果,導流至駭客設定的網頁)。

Foxsemicon's website

Foxsemicon's website

參考資料:京鼎官網,Wayback machine 網頁存檔

目前尚未知此事是否對京鼎造成了直接的經濟損失,但可以想見勢必會嚴重影響公司的商業信譽。

此案凸顯了對外部網路攻擊的防禦同樣重要。駭客攻擊可以來自任何地方,而且手法日益高明。企業必須投入足夠的資源,建立強固的網路防火牆、定期進行系統漏洞掃描,並設置入侵偵測系統來預防和應對可能的網路攻擊。

同時,企業還應該建立緊急應對機制,一旦發生資安事件,能夠迅速應對,減少損失。在心態上,遇到資安危機時,需積極應對、嚴陣以待,盡速通報相關機構、與專家商討解決方案,勿輕忽漠視。

新聞報導:京鼎遭駭 鴻海集團4主管赴調查局
新聞報導:京鼎網站遭駭客勒索 資策會建議落實資安三面向 - Rti央廣

【法遵合規要求】

從KKday和京鼎的資安事件,我們可以看到,無論是內部還是外部威脅,資安都是當代企業無法忽視的重要議題。

除了技術層面的防護措施外,法律合規也是確保資安的重要部分📜。企業需要從高層開始,建立全組織性的資安文化,並整合法律合規要求與業務實踐,以確保企業的長期繁榮與永續發展。

📢 重大訊息發布

依據《臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序》第4條第26款(別懷疑,金管會相關的法規依據都是這麼落落長…),資通安全事件致公司重大損害或影響者,屬於重大訊息。公司應依據第6條規定及時向證交所申報,否則可能被依違反第15條的規定處以最高500萬的違約金。

📰 年報、公開發行書記載

依據《公開發行公司年報應行記載事項準則》第18條第6款第2點,營運概況之記載須揭露因重大資通安全事件所遭受之損失、可能影響及因應措施;第20條第6款要求於風險事項揭露資通安全風險對公司財務業務之影響及因應措施。

🛡️ 資安專家配置

隨著資安風險日益增加,企業對於資訊安全專業人員的需求也隨之提高。配置足夠且專業的資安人員對於維護企業安全的重要性不言而喻,《公開發行公司建立內部控制制度處理準則》第 9、9-1條要求公開發行公司應設置內部資訊控制作業,配置適當人力資源及設備,進行資訊安全制度之規劃、監控及執行資訊安全管理作業。

2023年底前,上市櫃公司除最近3年稅前純益連續虧損或最近1年度每股淨值低於面額者外,應配置資訊安全主管及資訊安全人員。(金管證審字第11003656544號函釋)

⚙️ 資安管理體系建置

內部管理方面,企業可選擇導入ISO 27001、CNS 27001等資訊安全管理系統標準或第三方驗證,強化自身資安管理體制,同時有助於提高公司治理評鑑之評價。

外部合作方面,企業可評估與台灣電腦網路危機處理暨協調中心(TWCERT/CC)合作,加入資安聯盟,掌握即時資安威脅趨勢與防護資訊,並於資安事件發生時取得專家諮詢與分析的服務,讓企業在遭遇資安事件時之應對與恢復上獲得實用指引。

【結語:資安意識的提升】

資訊安全已成為當今企業不可或缺的一部分。無論是來自內部還是外部的威脅,都需要企業給予足夠的重視。資安不僅是技術問題,更是管理層面的重要課題。透過建立全面的資安防禦策略,企業可以更好地保護自己的數據資產,保障自身在數位時代的穩健發展。當資安成為企業文化的一部分時,企業才能更有效地保護自己的資產和客戶的信任。

最後,如果你覺得文章中有些地方希望深入討論,或是你有豐富的相關經驗想要分享,請隨時聯絡我們或是在下面留言分享和討論。我們都是在學習的旅人,讓我們一起來探討與成長,揉合、激盪更多知識吧!

喜歡糰子律師的文章嗎?歡迎按讚、分享!更歡迎你到FBIG追蹤我們(搜尋「糰子律師」),也可以到糰子律師的社群集散地(Linktree)找到更多的糰子律師!!

留言
avatar-img
留言分享你的想法!
avatar-img
糰子律師 Attorney Dango的沙龍
9會員
19內容數
在這裡,糰子律師將以輕鬆易懂的方式陪伴大家探索企業法律議題。除了以台灣為基礎以外,也會與大家一起拓展版圖,飄洋過海地分享日本、美國等地法律的「探險」筆記(對於糰子律師來說也是探索未知的世界 🧐) 。透過糰子律師的拋磚引玉,期待激發有趣且深刻的各種討論,使這裡成為以企業法律實務為中心的交流平台。
2024/10/10
Cloudflare 最近在與專利流氓 Sable 的訴訟中取得勝利,展示了其透過 Project Jengo 計畫有效利用群眾力量對抗 NPE 的成功經驗。不僅促使 Sable 承擔22.5萬美元的賠償金,還放棄了本案所有專利。充分反映了面對 NPE 挑戰時,利用創新策略的重要性。
Thumbnail
2024/10/10
Cloudflare 最近在與專利流氓 Sable 的訴訟中取得勝利,展示了其透過 Project Jengo 計畫有效利用群眾力量對抗 NPE 的成功經驗。不僅促使 Sable 承擔22.5萬美元的賠償金,還放棄了本案所有專利。充分反映了面對 NPE 挑戰時,利用創新策略的重要性。
Thumbnail
2024/09/20
本文探討了Internet Archive(IA)因經營數位圖書引發的法律訴訟 本文分析了法院對合理使用法律的判決及其對數位圖書館的深遠影響,此案例將成為未來數位資源管理的重要參考。 本文逐步解讀案件,介紹判決如何強調著作權保護與知識共享之間的平衡,提醒未經授權的數位化行為可能導致的法律風險。
Thumbnail
2024/09/20
本文探討了Internet Archive(IA)因經營數位圖書引發的法律訴訟 本文分析了法院對合理使用法律的判決及其對數位圖書館的深遠影響,此案例將成為未來數位資源管理的重要參考。 本文逐步解讀案件,介紹判決如何強調著作權保護與知識共享之間的平衡,提醒未經授權的數位化行為可能導致的法律風險。
Thumbnail
2024/06/26
歐盟即將正式公告首部針對AI系統的全面監管架構。本法案將對全球產生重大影響,類似於個資法領域的GDPR。 文章詳細介紹了歐盟AI法案的內容,包括對AI定義的廣泛規範、具域外效力、風險分層管制、通用型AI規範、罰則、生效日期及緩衝期。
Thumbnail
2024/06/26
歐盟即將正式公告首部針對AI系統的全面監管架構。本法案將對全球產生重大影響,類似於個資法領域的GDPR。 文章詳細介紹了歐盟AI法案的內容,包括對AI定義的廣泛規範、具域外效力、風險分層管制、通用型AI規範、罰則、生效日期及緩衝期。
Thumbnail
看更多
你可能也想看
Thumbnail
每年4月、5月都是最多稅要繳的月份,當然大部份的人都是有機會繳到「綜合所得稅」,只是相當相當多人還不知道,原來繳給政府的稅!可以透過一些有活動的銀行信用卡或電子支付來繳,從繳費中賺一點點小確幸!就是賺個1%~2%大家也是很開心的,因為你們把沒回饋變成有回饋,就是用卡的最高境界 所得稅線上申報
Thumbnail
每年4月、5月都是最多稅要繳的月份,當然大部份的人都是有機會繳到「綜合所得稅」,只是相當相當多人還不知道,原來繳給政府的稅!可以透過一些有活動的銀行信用卡或電子支付來繳,從繳費中賺一點點小確幸!就是賺個1%~2%大家也是很開心的,因為你們把沒回饋變成有回饋,就是用卡的最高境界 所得稅線上申報
Thumbnail
全球科技產業的焦點,AKA 全村的希望 NVIDIA,於五月底正式發布了他們在今年 2025 第一季的財報 (輝達內部財務年度為 2026 Q1,實際日曆期間為今年二到四月),交出了打敗了市場預期的成績單。然而,在銷售持續高速成長的同時,川普政府加大對於中國的晶片管制......
Thumbnail
全球科技產業的焦點,AKA 全村的希望 NVIDIA,於五月底正式發布了他們在今年 2025 第一季的財報 (輝達內部財務年度為 2026 Q1,實際日曆期間為今年二到四月),交出了打敗了市場預期的成績單。然而,在銷售持續高速成長的同時,川普政府加大對於中國的晶片管制......
Thumbnail
李天明了解到大型電腦系統,譬如銀行系統,都設有反駭客小組,專門針對系統漏洞進行測試,確保系統的安全性。他認為,公司的ERP系統和其他核心系統也需要這樣一個小組來保障安全,特別是在最近發現了多處漏洞後,這種需求顯得尤為迫切。 李天明決定將這個建議告訴黃瑜。一天上午,他敲響了黃瑜辦公室的門,進
Thumbnail
李天明了解到大型電腦系統,譬如銀行系統,都設有反駭客小組,專門針對系統漏洞進行測試,確保系統的安全性。他認為,公司的ERP系統和其他核心系統也需要這樣一個小組來保障安全,特別是在最近發現了多處漏洞後,這種需求顯得尤為迫切。 李天明決定將這個建議告訴黃瑜。一天上午,他敲響了黃瑜辦公室的門,進
Thumbnail
在今日的數位時代,網路資安事件已成為全球關注的焦點。最近,聯成公司遭受的網路資安攻擊事件,不僅凸顯了資訊安全的重要性,也提醒我們對於核心技術的防護不能有絲毫懈怠。 2024年4月9日,聯成公司的部分資訊系統遭到駭客攻擊。公司發現網路傳輸異常後,迅速啟動資安防禦和復原機制。
Thumbnail
在今日的數位時代,網路資安事件已成為全球關注的焦點。最近,聯成公司遭受的網路資安攻擊事件,不僅凸顯了資訊安全的重要性,也提醒我們對於核心技術的防護不能有絲毫懈怠。 2024年4月9日,聯成公司的部分資訊系統遭到駭客攻擊。公司發現網路傳輸異常後,迅速啟動資安防禦和復原機制。
Thumbnail
香港私隱專員公公署今日4/2/2024就數碼港公司去年的資安事故發表了調查報告 報告原文: (https://www.pcpd.org.hk/english/news_events/media_statements/press_20240402.html) 事件源於數碼港向私隱專員公署通報資料外
Thumbnail
香港私隱專員公公署今日4/2/2024就數碼港公司去年的資安事故發表了調查報告 報告原文: (https://www.pcpd.org.hk/english/news_events/media_statements/press_20240402.html) 事件源於數碼港向私隱專員公署通報資料外
Thumbnail
前幾天看到一則標題『貼牌的中國製智慧門鈴內含安全漏洞』,讓我想到以前寫過類似的故事,關於小型資訊公司與貼牌軟體漏洞的故事,也想重新整理思路當面對類似問題無論是開發公司或是購買軟體的公司該如何面對。
Thumbnail
前幾天看到一則標題『貼牌的中國製智慧門鈴內含安全漏洞』,讓我想到以前寫過類似的故事,關於小型資訊公司與貼牌軟體漏洞的故事,也想重新整理思路當面對類似問題無論是開發公司或是購買軟體的公司該如何面對。
Thumbnail
零信任機制強調不信任任何實體,要求在每個資源訪問上進行驗證,打破傳統資安模型信任內部網路的假設。
Thumbnail
零信任機制強調不信任任何實體,要求在每個資源訪問上進行驗證,打破傳統資安模型信任內部網路的假設。
Thumbnail
政府、法令是資訊安全的最後防線,本文從政府及法律層面探討網路安全議題,以及資通安全管理法和個資法的重要性。政府擴大進用資安人才,以及執行資通安全管理法、個資法的相關規定,對維護數位平臺安全有著重要作用。除此之外,文章還強調了民眾的資安素養及企業、政府的連手防禦對抗駭客組織及詐騙集團的重要性。
Thumbnail
政府、法令是資訊安全的最後防線,本文從政府及法律層面探討網路安全議題,以及資通安全管理法和個資法的重要性。政府擴大進用資安人才,以及執行資通安全管理法、個資法的相關規定,對維護數位平臺安全有著重要作用。除此之外,文章還強調了民眾的資安素養及企業、政府的連手防禦對抗駭客組織及詐騙集團的重要性。
Thumbnail
近期,我們可以從媒體上看到兩起資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部駭客攻破防線而受到勒索。 除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。
Thumbnail
近期,我們可以從媒體上看到兩起資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部駭客攻破防線而受到勒索。 除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。
Thumbnail
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
Thumbnail
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
Thumbnail
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。 要打造一個密不可破的防護網,企業端就不能夠缺席。 舉幾個例子讓大家知道。
Thumbnail
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。 要打造一個密不可破的防護網,企業端就不能夠缺席。 舉幾個例子讓大家知道。
Thumbnail
在資訊保安的工作裡,資安認知訓練是一項基本的措施,但同時亦是很多企業忽略的一環。 過往筆者也有參與資安認知訓練的設計及提供培訓服務,很多時最困難的並不是內容的撰寫,也不是預算的多寡或培訓時間的時數,而是如何讓受訓者認真去接受培訓資訊。 企業員工會覺得資訊保安是資訊科技部門的責任......
Thumbnail
在資訊保安的工作裡,資安認知訓練是一項基本的措施,但同時亦是很多企業忽略的一環。 過往筆者也有參與資安認知訓練的設計及提供培訓服務,很多時最困難的並不是內容的撰寫,也不是預算的多寡或培訓時間的時數,而是如何讓受訓者認真去接受培訓資訊。 企業員工會覺得資訊保安是資訊科技部門的責任......
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News