資安管理的內外全面挑戰:從KKday與京鼎事件看資安管理體系的建置及法遵合規要求

更新於 2024/01/27閱讀時間約 6 分鐘

在數位時代,資訊安全已成為企業不可或缺的防線🧱。

近期,我們可以從新聞媒體上看到兩起顯著的資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部的駭客攻破防線而受到高調勒索👾。

以這兩起資安事件為鑑,除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。

(這些法遵義務大多是針對公開發行公司所制定,但對於中小企業而言,資安風險並不會因為企業規模大小而改變,因此仍是建議將該些法遵要求納入管理體制的建立方向,務實且積極地推動。)

Information Security

Information Security

參考資料:金管會近期積極推動強化上市(櫃)公司資通安全管理之措施,金融監督管理委員會

【KKday:內部資安威脅的啟示】

KKday的案件源自一名前員工在跳槽至競爭對手Klook後,涉嫌利用非法手段竊取KKday的內部資料。

該名前員工被控利用其過往的職位便利,取得多組員工帳密,非法侵入KKday後台系統多次,竊取了供應商系統設計、供應商資料、商品品項、銷售數量、銷售期間、成本金額、訂單金額及總額、訂單分析等重要商業機密。

該前員工不僅自行侵入KKday後台系統,還將獲得的帳號密碼分享給Klook的其他員工,用於提升Klook自家的營業📈。

這事件凸顯出了企業在內部管理上的資安漏洞,尤其是當員工離職並轉至競爭對手時,他們對前雇主系統的瞭解可能成為嚴重的安全隱患,此時對於企業來說內部系統權限的管理和敏感資料的保護至關重要。

這種類型的內部威脅要求企業平時就必須有嚴格的內部控制和監督機制,防止員工不當洩漏、利用營業秘密,也避免商業間諜埋入木馬或是後門。

進一步更需要注意在員工離職後,對於資訊系統存取權限管理的重要性。

企業必須建立強化的內部監控機制,包括定期更改密碼、監控不尋常的系統存取行為,以及加強員工對資安意識的教育訓練,以保護其商業機密和敏感數據

新聞報導:Klook副總監涉竊取前東家KKday營業秘密 北檢今起訴3人 | 聯合新聞網
新聞報導:KKday商業機密頻遭竊 跳槽同業經理涉案北檢起訴 | 社會 | 中央社 CNA

【京鼎:外部網路攻擊的警鐘】

與KKday的內部資安威脅不同,京鼎所面臨的是外部網路攻擊🚨。駭客入侵京鼎的系統,聲稱已竊取公司內部高達5Tb的大量資料,並在多次電郵勒索未果後,直接高調挾持京鼎網站的網域(推測是竄改DNS解析結果,導流至駭客設定的網頁)。

Foxsemicon's website

Foxsemicon's website

參考資料:京鼎官網,Wayback machine 網頁存檔

目前尚未知此事是否對京鼎造成了直接的經濟損失,但可以想見勢必會嚴重影響公司的商業信譽。

此案凸顯了對外部網路攻擊的防禦同樣重要。駭客攻擊可以來自任何地方,而且手法日益高明。企業必須投入足夠的資源,建立強固的網路防火牆、定期進行系統漏洞掃描,並設置入侵偵測系統來預防和應對可能的網路攻擊。

同時,企業還應該建立緊急應對機制,一旦發生資安事件,能夠迅速應對,減少損失。在心態上,遇到資安危機時,需積極應對、嚴陣以待,盡速通報相關機構、與專家商討解決方案,勿輕忽漠視。

新聞報導:京鼎遭駭 鴻海集團4主管赴調查局
新聞報導:京鼎網站遭駭客勒索 資策會建議落實資安三面向 - Rti央廣

【法遵合規要求】

從KKday和京鼎的資安事件,我們可以看到,無論是內部還是外部威脅,資安都是當代企業無法忽視的重要議題。

除了技術層面的防護措施外,法律合規也是確保資安的重要部分📜。企業需要從高層開始,建立全組織性的資安文化,並整合法律合規要求與業務實踐,以確保企業的長期繁榮與永續發展。

📢 重大訊息發布

依據《臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序》第4條第26款(別懷疑,金管會相關的法規依據都是這麼落落長…),資通安全事件致公司重大損害或影響者,屬於重大訊息。公司應依據第6條規定及時向證交所申報,否則可能被依違反第15條的規定處以最高500萬的違約金。

📰 年報、公開發行書記載

依據《公開發行公司年報應行記載事項準則》第18條第6款第2點,營運概況之記載須揭露因重大資通安全事件所遭受之損失、可能影響及因應措施;第20條第6款要求於風險事項揭露資通安全風險對公司財務業務之影響及因應措施。

🛡️ 資安專家配置

隨著資安風險日益增加,企業對於資訊安全專業人員的需求也隨之提高。配置足夠且專業的資安人員對於維護企業安全的重要性不言而喻,《公開發行公司建立內部控制制度處理準則》第 9、9-1條要求公開發行公司應設置內部資訊控制作業,配置適當人力資源及設備,進行資訊安全制度之規劃、監控及執行資訊安全管理作業。

2023年底前,上市櫃公司除最近3年稅前純益連續虧損或最近1年度每股淨值低於面額者外,應配置資訊安全主管及資訊安全人員。(金管證審字第11003656544號函釋)

⚙️ 資安管理體系建置

內部管理方面,企業可選擇導入ISO 27001、CNS 27001等資訊安全管理系統標準或第三方驗證,強化自身資安管理體制,同時有助於提高公司治理評鑑之評價。

外部合作方面,企業可評估與台灣電腦網路危機處理暨協調中心(TWCERT/CC)合作,加入資安聯盟,掌握即時資安威脅趨勢與防護資訊,並於資安事件發生時取得專家諮詢與分析的服務,讓企業在遭遇資安事件時之應對與恢復上獲得實用指引。

【結語:資安意識的提升】

資訊安全已成為當今企業不可或缺的一部分。無論是來自內部還是外部的威脅,都需要企業給予足夠的重視。資安不僅是技術問題,更是管理層面的重要課題。透過建立全面的資安防禦策略,企業可以更好地保護自己的數據資產,保障自身在數位時代的穩健發展。當資安成為企業文化的一部分時,企業才能更有效地保護自己的資產和客戶的信任。

最後,如果你覺得文章中有些地方希望深入討論,或是你有豐富的相關經驗想要分享,請隨時聯絡我們或是在下面留言分享和討論。我們都是在學習的旅人,讓我們一起來探討與成長,揉合、激盪更多知識吧!

喜歡糰子律師的文章嗎?歡迎按讚、分享!更歡迎你到FBIG追蹤我們(搜尋「糰子律師」),也可以到糰子律師的社群集散地(Linktree)找到更多的糰子律師!!

在這裡,糰子律師將以輕鬆易懂的方式陪伴大家探索企業法律議題。除了以台灣為基礎以外,也會與大家一起拓展版圖,飄洋過海地分享日本、美國等地法律的「探險」筆記(對於糰子律師來說也是探索未知的世界 🧐) 。透過糰子律師的拋磚引玉,期待激發有趣且深刻的各種討論,使這裡成為以企業法律實務為中心的交流平台。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
🚦 在繁忙的街頭,每一筆交易、每一份契約,都在編織著商業世界的網絡。 在這張網絡中,買賣交易的標的五花八門,除了特定的物品之外,無形、虛擬的「債權」也是可以成為買賣的標的。 然而,當我們將視野從台灣延伸至日本,會發現制度卻有著微妙的差異,有什麼需要留意的地方?且讓糰子娓娓道來。
蘋果公司近年Apple Watch多主打健康監測功能,包含心電圖、血氧監測等。 但因「血氧監測」功能,蘋果面臨專利侵權挑戰,導致在美國可能無法銷售具備血氧功能的Apple Watch。這篇文章梳理了此次專利侵權風波的細節及最終決定。
某天有個日本朋友找你下棋,挑釁你很傻一定會輸,你一聽便覺得不能接受,不甘示弱地表示自己小時候可是能跟公園阿伯過上好幾招,怎麼可能輕易認輸。 他端出了棋盤,是日本將棋。 好吧,你連遊戲規則都不懂,只聽過餃子的王將,不知道王將在棋盤上要怎麼移動。 在契約裡面,所謂的遊戲規則,就是由準據法所決定。
⚔️ 武俠電玩的著作權巔峰之戰,智冠科技對決河洛遊戲,眾多老玩家、粉絲關注的武林群俠傳續作「俠客風雲傳」的著作權侵權案。歷經智冠在一、二審的二連勝,河洛在最高法院的絕地逆轉,最近一個回合到了更一審,由智財法院裁判河洛勝出!🏆 究竟實際戰況如何,讓說書人糰子說個明白~!
如果你曾經與日本企業簽過契約,可能會留意到他們在契約中都會不厭其煩地要你承諾自己不是8+9、與黑社會無關、禁止使用暴力。 在第一次看到的時候,你可能會心裡嘀咕:「這甚麼啊?你才黑社會!你全家黑社會!」但是其實,這是在日本社會環境下所產出獨具特色的契約條款:暴力團排除條款(或反社會勢力排除條款)..
在全球化的浪潮下,越來越多的企業踏入國際貿易的舞台。雖然這帶來了無限的商機,但同時也伴隨著各種風險。 今天,我們要來聊一個可能讓你在跨國交易航路上意外「翻船」的「礁石」——付款風險。我們會從付款風險的評估、付款條件的設定、契約條件的設計,到其他自保工具的利用等不同的角度,一起探討如何避開這塊礁石。
🚦 在繁忙的街頭,每一筆交易、每一份契約,都在編織著商業世界的網絡。 在這張網絡中,買賣交易的標的五花八門,除了特定的物品之外,無形、虛擬的「債權」也是可以成為買賣的標的。 然而,當我們將視野從台灣延伸至日本,會發現制度卻有著微妙的差異,有什麼需要留意的地方?且讓糰子娓娓道來。
蘋果公司近年Apple Watch多主打健康監測功能,包含心電圖、血氧監測等。 但因「血氧監測」功能,蘋果面臨專利侵權挑戰,導致在美國可能無法銷售具備血氧功能的Apple Watch。這篇文章梳理了此次專利侵權風波的細節及最終決定。
某天有個日本朋友找你下棋,挑釁你很傻一定會輸,你一聽便覺得不能接受,不甘示弱地表示自己小時候可是能跟公園阿伯過上好幾招,怎麼可能輕易認輸。 他端出了棋盤,是日本將棋。 好吧,你連遊戲規則都不懂,只聽過餃子的王將,不知道王將在棋盤上要怎麼移動。 在契約裡面,所謂的遊戲規則,就是由準據法所決定。
⚔️ 武俠電玩的著作權巔峰之戰,智冠科技對決河洛遊戲,眾多老玩家、粉絲關注的武林群俠傳續作「俠客風雲傳」的著作權侵權案。歷經智冠在一、二審的二連勝,河洛在最高法院的絕地逆轉,最近一個回合到了更一審,由智財法院裁判河洛勝出!🏆 究竟實際戰況如何,讓說書人糰子說個明白~!
如果你曾經與日本企業簽過契約,可能會留意到他們在契約中都會不厭其煩地要你承諾自己不是8+9、與黑社會無關、禁止使用暴力。 在第一次看到的時候,你可能會心裡嘀咕:「這甚麼啊?你才黑社會!你全家黑社會!」但是其實,這是在日本社會環境下所產出獨具特色的契約條款:暴力團排除條款(或反社會勢力排除條款)..
在全球化的浪潮下,越來越多的企業踏入國際貿易的舞台。雖然這帶來了無限的商機,但同時也伴隨著各種風險。 今天,我們要來聊一個可能讓你在跨國交易航路上意外「翻船」的「礁石」——付款風險。我們會從付款風險的評估、付款條件的設定、契約條件的設計,到其他自保工具的利用等不同的角度,一起探討如何避開這塊礁石。
你可能也想看
Google News 追蹤
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
同一場活動,不同的人參加有不同的感想,有人覺得讚嘆,也有人覺得失望,強烈建議看完這篇的你親身去走一遭。 這篇文章將著重介紹一些大家在遊記中較少提及的部分。同時,我也要感謝公司提供機會讓我參加此活動! 希望這篇文章能給將來有意參加活動的朋友提供一些有用的知識。
Thumbnail
相信大家對於『.zip』以及『.mov』這兩個結尾都不陌生,但你確定你眼前的,真的是你要的檔案嗎?
Thumbnail
過去一些成果是不是表示台灣是否已經成功培養出能提升其資安國力所需的資安產業人才?其實答案是否定的。真正能開發資安工具自動化的人才對系統軟體(如作業系統、編譯器、虛擬機監視器)、資安攻防手法、人工智慧技術通常有多年浸淫的實戰經驗,也將是台灣資安產業能否破繭而出的關鍵研發力量。
Thumbnail
今年三月科技成長股大調整時,我寫過一篇文章推介CRWD,至今其股價已漲了七成。上周,雲端安全板塊好消息連發,包括CRWD被納入成為Nasdaq-100成份股和白宮會議等,帶動CRWD和ZS齊創新高。本篇文章會介紹「下一代資安」的三大面向、不同公司的競爭與合作狀況,以及我投資這板塊雲端安全公司的策略。
Thumbnail
觀察這九間台灣主要的資安公司,會發現絕大多數都還是以硬體為主。分享一下自己的觀點與適合的投資方式 資安大廠代理商:  零壹(3029)、敦陽科(2480)、聚碩(6112)、凌群(2453)、精誠資訊(6214)。 偏硬體相關:  立端(6245)、是方(6561)、瑞祺電通(6416)。
Thumbnail
延續上篇的內容,這期跟大家分享對於剩下幾間公司的心得跟想法。 資安大廠代理商: 零壹(3029)、敦陽科(2480)、聚碩(6112)、凌群(2453)、精誠資訊(6214)。 偏硬體相關: 立端(6245)、是方(6561)、瑞祺電通(6416)。
Thumbnail
安碁資訊是目前台股中最純粹資安概念股,也是國內最大SOC(資安監控中心)業者,服務對象以政府部門為主,占比有6至7成,其次是金融業與製造業。
Thumbnail
資安產業相關的發展,還有疫情對資安的影響,接著分享了一些國際資安大廠與觀察 00875 ETF,再來上一期是政府的資安產業推動計畫。 這期主要針對一些台股中的資訊安全相關的公司做一下觀察,當然礙於篇幅的關係,主要針對安碁資訊與零壹做深度的觀察,其他大概大略知道一下概況。 台股
Thumbnail
延續前幾期的資安議題,這次來討論一下台灣資安產業發展。其實大家可能不知到資安產業其實是政府產業發展的主軸之一。 一起來發現看看台灣在資安上的商機在哪裡。就好像先前我們在5G價值投資裡面有提
Thumbnail
「資安即國安」,政府於2018年九月在國家安全會議發布我國首部資安戰略報告,為數位國家、創新經濟奠定基礎。2020年受到新冠肺炎疫情影響,線上會議需求、員工被隔離、在家工作需求增加,資訊安全產業市場規模逐年擴大,本篇針對資安產業的系統整合商(敦陽科)與資安服務商(安碁)進行財報價值評估。
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
同一場活動,不同的人參加有不同的感想,有人覺得讚嘆,也有人覺得失望,強烈建議看完這篇的你親身去走一遭。 這篇文章將著重介紹一些大家在遊記中較少提及的部分。同時,我也要感謝公司提供機會讓我參加此活動! 希望這篇文章能給將來有意參加活動的朋友提供一些有用的知識。
Thumbnail
相信大家對於『.zip』以及『.mov』這兩個結尾都不陌生,但你確定你眼前的,真的是你要的檔案嗎?
Thumbnail
過去一些成果是不是表示台灣是否已經成功培養出能提升其資安國力所需的資安產業人才?其實答案是否定的。真正能開發資安工具自動化的人才對系統軟體(如作業系統、編譯器、虛擬機監視器)、資安攻防手法、人工智慧技術通常有多年浸淫的實戰經驗,也將是台灣資安產業能否破繭而出的關鍵研發力量。
Thumbnail
今年三月科技成長股大調整時,我寫過一篇文章推介CRWD,至今其股價已漲了七成。上周,雲端安全板塊好消息連發,包括CRWD被納入成為Nasdaq-100成份股和白宮會議等,帶動CRWD和ZS齊創新高。本篇文章會介紹「下一代資安」的三大面向、不同公司的競爭與合作狀況,以及我投資這板塊雲端安全公司的策略。
Thumbnail
觀察這九間台灣主要的資安公司,會發現絕大多數都還是以硬體為主。分享一下自己的觀點與適合的投資方式 資安大廠代理商:  零壹(3029)、敦陽科(2480)、聚碩(6112)、凌群(2453)、精誠資訊(6214)。 偏硬體相關:  立端(6245)、是方(6561)、瑞祺電通(6416)。
Thumbnail
延續上篇的內容,這期跟大家分享對於剩下幾間公司的心得跟想法。 資安大廠代理商: 零壹(3029)、敦陽科(2480)、聚碩(6112)、凌群(2453)、精誠資訊(6214)。 偏硬體相關: 立端(6245)、是方(6561)、瑞祺電通(6416)。
Thumbnail
安碁資訊是目前台股中最純粹資安概念股,也是國內最大SOC(資安監控中心)業者,服務對象以政府部門為主,占比有6至7成,其次是金融業與製造業。
Thumbnail
資安產業相關的發展,還有疫情對資安的影響,接著分享了一些國際資安大廠與觀察 00875 ETF,再來上一期是政府的資安產業推動計畫。 這期主要針對一些台股中的資訊安全相關的公司做一下觀察,當然礙於篇幅的關係,主要針對安碁資訊與零壹做深度的觀察,其他大概大略知道一下概況。 台股
Thumbnail
延續前幾期的資安議題,這次來討論一下台灣資安產業發展。其實大家可能不知到資安產業其實是政府產業發展的主軸之一。 一起來發現看看台灣在資安上的商機在哪裡。就好像先前我們在5G價值投資裡面有提
Thumbnail
「資安即國安」,政府於2018年九月在國家安全會議發布我國首部資安戰略報告,為數位國家、創新經濟奠定基礎。2020年受到新冠肺炎疫情影響,線上會議需求、員工被隔離、在家工作需求增加,資訊安全產業市場規模逐年擴大,本篇針對資安產業的系統整合商(敦陽科)與資安服務商(安碁)進行財報價值評估。