資安管理的內外全面挑戰:從KKday與京鼎事件看資安管理體系的建置及法遵合規要求
在數位時代,資訊安全已成為企業不可或缺的防線🧱。
近期,我們可以從新聞媒體上看到兩起顯著的資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部的駭客攻破防線而受到高調勒索👾。
以這兩起資安事件為鑑,除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。
(這些法遵義務大多是針對公開發行公司所制定,但對於中小企業而言,資安風險並不會因為企業規模大小而改變,因此仍是建議將該些法遵要求納入管理體制的建立方向,務實且積極地推動。)
Information Security
參考資料:金管會近期積極推動強化上市(櫃)公司資通安全管理之措施,金融監督管理委員會
【KKday:內部資安威脅的啟示】
KKday的案件源自一名前員工在跳槽至競爭對手Klook後,涉嫌利用非法手段竊取KKday的內部資料。
該名前員工被控利用其過往的職位便利,取得多組員工帳密,非法侵入KKday後台系統多次,竊取了供應商系統設計、供應商資料、商品品項、銷售數量、銷售期間、成本金額、訂單金額及總額、訂單分析等重要商業機密。
該前員工不僅自行侵入KKday後台系統,還將獲得的帳號密碼分享給Klook的其他員工,用於提升Klook自家的營業📈。
這事件凸顯出了企業在內部管理上的資安漏洞,尤其是當員工離職並轉至競爭對手時,他們對前雇主系統的瞭解可能成為嚴重的安全隱患,此時對於企業來說內部系統權限的管理和敏感資料的保護至關重要。
這種類型的內部威脅要求企業平時就必須有嚴格的內部控制和監督機制,防止員工不當洩漏、利用營業秘密,也避免商業間諜埋入木馬或是後門。
進一步更需要注意在員工離職後,對於資訊系統存取權限管理的重要性。
企業必須建立強化的內部監控機制,包括定期更改密碼、監控不尋常的系統存取行為,以及加強員工對資安意識的教育訓練,以保護其商業機密和敏感數據
新聞報導:Klook副總監涉竊取前東家KKday營業秘密 北檢今起訴3人 | 聯合新聞網
新聞報導:KKday商業機密頻遭竊 跳槽同業經理涉案北檢起訴 | 社會 | 中央社 CNA
【京鼎:外部網路攻擊的警鐘】
與KKday的內部資安威脅不同,京鼎所面臨的是外部網路攻擊🚨。駭客入侵京鼎的系統,聲稱已竊取公司內部高達5Tb的大量資料,並在多次電郵勒索未果後,直接高調挾持京鼎網站的網域(推測是竄改DNS解析結果,導流至駭客設定的網頁)。
Foxsemicon's website
參考資料:京鼎官網,Wayback machine 網頁存檔
目前尚未知此事是否對京鼎造成了直接的經濟損失,但可以想見勢必會嚴重影響公司的商業信譽。
此案凸顯了對外部網路攻擊的防禦同樣重要。駭客攻擊可以來自任何地方,而且手法日益高明。企業必須投入足夠的資源,建立強固的網路防火牆、定期進行系統漏洞掃描,並設置入侵偵測系統來預防和應對可能的網路攻擊。
同時,企業還應該建立緊急應對機制,一旦發生資安事件,能夠迅速應對,減少損失。在心態上,遇到資安危機時,需積極應對、嚴陣以待,盡速通報相關機構、與專家商討解決方案,勿輕忽漠視。
新聞報導:京鼎遭駭 鴻海集團4主管赴調查局
新聞報導:京鼎網站遭駭客勒索 資策會建議落實資安三面向 - Rti央廣
【法遵合規要求】
從KKday和京鼎的資安事件,我們可以看到,無論是內部還是外部威脅,資安都是當代企業無法忽視的重要議題。
除了技術層面的防護措施外,法律合規也是確保資安的重要部分📜。企業需要從高層開始,建立全組織性的資安文化,並整合法律合規要求與業務實踐,以確保企業的長期繁榮與永續發展。
📢 重大訊息發布
依據《臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序》第4條第26款(別懷疑,金管會相關的法規依據都是這麼落落長…),資通安全事件致公司重大損害或影響者,屬於重大訊息。公司應依據第6條規定及時向證交所申報,否則可能被依違反第15條的規定處以最高500萬的違約金。
📰 年報、公開發行書記載
依據《公開發行公司年報應行記載事項準則》第18條第6款第2點,營運概況之記載須揭露因重大資通安全事件所遭受之損失、可能影響及因應措施;第20條第6款要求於風險事項揭露資通安全風險對公司財務業務之影響及因應措施。
🛡️ 資安專家配置
隨著資安風險日益增加,企業對於資訊安全專業人員的需求也隨之提高。配置足夠且專業的資安人員對於維護企業安全的重要性不言而喻,《公開發行公司建立內部控制制度處理準則》第 9、9-1條要求公開發行公司應設置內部資訊控制作業,配置適當人力資源及設備,進行資訊安全制度之規劃、監控及執行資訊安全管理作業。
2023年底前,上市櫃公司除最近3年稅前純益連續虧損或最近1年度每股淨值低於面額者外,應配置資訊安全主管及資訊安全人員。(金管證審字第11003656544號函釋)
⚙️ 資安管理體系建置
內部管理方面,企業可選擇導入ISO 27001、CNS 27001等資訊安全管理系統標準或第三方驗證,強化自身資安管理體制,同時有助於提高公司治理評鑑之評價。
外部合作方面,企業可評估與台灣電腦網路危機處理暨協調中心(TWCERT/CC)合作,加入資安聯盟,掌握即時資安威脅趨勢與防護資訊,並於資安事件發生時取得專家諮詢與分析的服務,讓企業在遭遇資安事件時之應對與恢復上獲得實用指引。
【結語:資安意識的提升】
資訊安全已成為當今企業不可或缺的一部分。無論是來自內部還是外部的威脅,都需要企業給予足夠的重視。資安不僅是技術問題,更是管理層面的重要課題。透過建立全面的資安防禦策略,企業可以更好地保護自己的數據資產,保障自身在數位時代的穩健發展。當資安成為企業文化的一部分時,企業才能更有效地保護自己的資產和客戶的信任。
最後,如果你覺得文章中有些地方希望深入討論,或是你有豐富的相關經驗想要分享,請隨時聯絡我們或是在下面留言分享和討論。我們都是在學習的旅人,讓我們一起來探討與成長,揉合、激盪更多知識吧!
喜歡糰子律師的文章嗎?歡迎按讚、分享!更歡迎你到FB或IG追蹤我們(搜尋「糰子律師」),也可以到糰子律師的社群集散地(Linktree)找到更多的糰子律師!!
你可能也想看
