• 發布單位:TWCERT/CC
• 更新日期:2019-03-23
• 點閱次數:665

1.如果只是在資安問題發生後將漏洞補一補，這種態度不正確，下一次駭客攻擊再來，問題還是會發生。

一年半內，台灣已經連續發生了幾起重要的金融業資安議題，包括去年7月的一銀ATM被駭、今年2月券商集體遭DDoS攻擊，以及最近遠東銀行SWIFT跨國匯款系統遭駭被轉走新台幣18億元。金融業是高度規管的產業，資安架構理應有高度防駭水準，但從這幾起事件來看，台灣金融業的資安從觀念到落實還有很大改進的空間。
現在的駭客與過去不同，從前志在炫技，以攻進高難度機關為成就；現在靠駭入各項伺服器獲利，作為謀生工具，已經到了犯罪程度。以金融機構來說，如果只是符合主管機關發下來的準則照章準備查核，還把資安當成「花錢」的負擔，下次駭客還會攻破防線。
不只是金融業，許多企業都沒有將資安視為企業治理的一部分，畢竟對許多高位經營者來說，網路很方便、連線全世界等觀念都是最近才有的事情，過去並無這些觀念，因此認知也很薄弱。但在新加坡，是規定高階主管必須進修一些資安概念時數，落實將資安作為企業經營的重要環節。要加強資安能力，除了投資設備、增加專職資安人力外，重點是落實各項查核和數字，常常進行防駭演練，將這種「運動」當成公司營運一部分，不是聘一個資安長坐在公司裡就可以。
21世紀是網路連接全世界的世界，不僅是各行各業，大部分民眾其實也面臨個人資訊安全受威脅的風險，跨國的資訊戰更是將軟體當成武器，隨時可以遠端攻擊台灣。唯有善用所有資安的資源，每年體檢資安架構，並且進行滲透測試（Penetration Test），就是找第三方專業資安團隊，以駭客思維嘗試入侵該企業的網站、資訊系統、設備等軟硬體，找出各種潛在漏洞，驗證企業的資料與設備是否可被竊取或破壞，同時也評估資訊系統與硬體的全盤架構，確認其安全性是否有待加強；還有弱點掃描（Vulnerability Assessment）：使用自動化工具對系統進行檢測，找出所有已知的風險進行檢討改善。

參考連結：

https://money.udn.com/money/story/5629/2781279