遠銀遭駭18億元 金管會列三大缺失
(中央社記者蔡怡杼台北12日電)金融監督管理委員會表示,遠銀遭駭有三大缺失,一是未落實資安控管SOP,沒有遵循最小授權原則;二是未依規定進行網段隔離;以及第三、事後檢視稽核未落實。
遠東國際商業銀行4日遭駭客匯出約6000美元(約新台幣18億元)跨國匯款,陸續追回4600萬美元並凍結有問題帳戶;斯里蘭卡官員今天表示,當局逮捕2名嫌犯後,尋回遭竊走贓款130多萬美元(約新台幣3952萬元)。
金管會主委顧立雄上午在立法院財委會表示,這次遠東銀行遭駭,主要是因為沒Follow SOP(標準程序)的過程,一旦檢查報告確定,有缺失就會進行相關懲處。
檢查局副局長葉淑媛指出,遠銀對資訊系統的權限管理訂有內部SOP,規範系統主機以及應用系統帳戶的授權,但卻未落實遵循,即在資安管理上,沒有符合最小授權原則,造成高權限的SWIFT(環球財務通訊系統)帳號、密碼遭盜取。
葉淑媛說明,所謂最小授權原則,即系統管理超過授權範圍時,須經過內部一定的控制程序後,才能一步步開放局部的權限,但遠銀一開始給的管理權限卻是最高權限,因此,一旦系統遭駭時,就會做出很多高權限的行為。
葉淑媛進一步指出,金管會有鑒於國外出現SWIFT系統遭駭的情況,於去年9月發函銀行公會,公會於去年底通知本國銀行,要求各家銀行加強對系統的管理、做好網段隔離,並列為各家銀行內部稽核的重點,但遠銀卻「只做半套」,也就是工作站的做法有合規,但主機卻沒有做到網段的隔離。
第三、遠銀內控三道防線的最後防線-內部稽核未確實,也就是,遠銀在事後的檢視沒有做好。
葉淑媛指出,金管會去年發函要求銀行做好系統控管後,SWIFT系統的安全性已列為檢查局金檢的重點項目,但檢查局通常以每兩年一次的頻率對金融機構進行一般金檢,遠銀並非今年金檢對象,檢查局是在遭駭事件爆發後對遠銀金檢時,才發現遠銀未落實內控的第三道防線;相關金檢人員仍在遠銀清查中。
另外,銀行局要求遠銀7天內要交出內部檢討報告,但因為中間卡了幾天的連假,銀行局副局長莊琇媛說,會儘速要求遠銀交報告。1061012
本網站之文字、圖片及影音,非經授權,不得轉載、公開播送或公開傳輸及利用。