第14屆CIO價值學院第五堂課會後報導
隨著商業環境改變、駭客攻擊手法多變,導致企業的邊界日益模糊,在資安誒鞋無所不再下,資安防守線也變長。如隨著遠距工作興起,為企業帶來未授權存取,以及外部入侵等風險,而公司內部的物聯網裝置,也因設備商種功能、輕安全,導致許多舊設備陷入無法修補的困境,而在雲端服務盛行下,現行地端防護機制根本無法滿足雲端監控需求。至於新型態的資安威脅部分,供應鏈安全議題持續延燒,委外廠商恐成為入侵企業的跳板,而BEC詐騙盛行,也對企業造成極大威脅。根據趨勢科技研究報告指出,僅管金融產業在法規要求下,資安防護能力、警覺心較高,但平均遭入侵時間仍然長達391天,最高曾有遭入侵1,656天才被發現的案例,對於公司數位資安、商業機密、商譽等,均造成前所未有的影響。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
國泰金控副總經理林佩靜指出,在保護用戶資產的前提下,國泰金控在客戶核對身份上主要是從三大面向著手,首先為降低客戶被詐騙的機率,我們是提供客戶短網址、從APP推播。其次,為防駭客假冒客戶身份登入,我們也導入多因子認證、建立安全性提問,以及重要交易強制採取生物辨識。最後,在減少客戶損害方面,當出現解除綁定裝置時會通知客戶,同時啟動異常交易分析機制。另外,我們也會將客戶登入機制納入SOC監控,同時擬定例外及異常監控規則進行重點管理。
值得一提,2021年6月國泰金控旗下的國泰人壽,正式推出可遠距投保壽險的「泰好保」服務,在疫情肆虐期間,可為客戶提供零接觸、零落地、零紙張的投保服務。為解決資安疑慮,國泰金控在資安防護上下了許多苦工,在文件加密部分,視訊及檔案傳輸過程使用均使用Https、TLS1.2、AES 256 等加密協定進行傳輸。在文件控管方面,當文件、影片回傳至公司留存時,相關視訊檔案及文件加密保存不可再被修改,而資料保存部分,遠距錄影檔案採用加密存放,使用者經授權遠距投保質檢作業,才能透過前端站台功能服務存取檔案。最後在平台安全方面,APP本身通過經濟部工業局「行動應用APP基本資安檢測基準」及OWASP,而視訊會議產品通過則 ISO 27001、ISO 9001 及 CSA Star 認證。
面對無所不在的資安威脅,企業應該持續強化資安防護能量,包含過大編列在資安設備採購預算,提升員工教育訓練等,才能在享受數位轉型的甜美果實時,同時避免陷入資料外洩的疑慮中。(文/林裕洋)
(本文授權非營利轉載,請註明出處:CIO Taiwan)
