前幾期我們製作的封面故事《2016身分保衛戰開打》,以及《勒索軟體2016教戰守則》,剛好都跟資訊安全的議題有關,沒想到,才剛歷經超強颱風尼伯特來襲的震撼,周二就傳出第一銀行ATM提款機遭人盜領千萬現金,震驚全國。

根據媒體早先的報導,失竊金額是7千多萬元,有20家分行、34臺ATM發生異常,經過調查局新北市調處清查,隔日又修正為38臺ATM遭盜領,金額增加到8390萬元,並且發現這些提款機被植入3支惡意程式執行檔與1支批次檔。到底錢是如何被提領出來的?眾說紛紜,仍有待後續警調單位的進一步釐清。

最近臺灣出現太多令人意外的事故,幾乎接踵而來。

6月底華航空服員發動罷工,7月初海軍發生雄風三型飛彈誤射,而上周又有今年第一個颱風侵臺,重創臺東、蘭嶼、綠島等地區,造成重大民生經濟損失。而颱風登陸前的那一夜,臺鐵開往基隆的區間車在即將進入松山車站之際,發生了爆炸,造成25名乘客受傷,雖然涉有重嫌者呼之欲出,但遲遲無法偵訊,距離真正破案還需要一段時間。

而這幾天的重大新聞,除了上述的第一銀行ATM盜領大筆現鈔,在全球國際關係上,也不平靜。例如,南海仲裁案結果7月12日正式出爐,但中國、臺灣政府均不接受,有可能導致區域爭議升溫,衝突似乎一觸即發。若再加上6月23日英國舉行脫離歐洲公投,支持脫離者占多數,結果導致全球股匯市暴跌,歐盟也有可能面臨更大的分裂危機。

凡此種種,追究原因,並非全部都是意外突發事件,有許多都是長期累積下來的問題,最後暴發出來,不過,在這麼多消息中,第一銀行會出事還是讓許多人感到震驚。

因為該銀行在2006年取得ISO 27001資訊安全管理證書,號稱是國內大型銀行業第一家拿到這項認證,我們的記者黃彥棻當時曾以〈第一銀行取得ISO 27001資安認證〉為題,來報導這條新聞,3年後,他們宣布通過ISO 27001三年重新驗證,到了2010年,率先完成ISO/IEC 20000:2005資訊服務管理標準驗證,成為國內第一家拿到該認證的銀行。在2013年,第一銀行也拿到金融聯合徵信中心所頒發的金安獎。

要獲得這些成就並不簡單,要長期保持優質的安全,也是很大的挑戰,而這次震驚全國、全球的盜領巨款事件發生,不免讓人反思:連這樣的資安資優生都會栽了大跟斗,那我們本身所處的企業或組織單位,平時的資通安全防護措施都做好了嗎?若遇到同樣的情況,難道擁有比他們更能倖免於難的條件嗎?另一方面,企業看待通過國際級資安驗證的價值和意義,可能也會有所改變,我們期待有關單位進一步說明,能否透過這樣的機制來強化安全性,答案若是否定的,有其他方式可以督促企業提升嗎?我們希望已發生的錯誤和疏忽,不再歷史重演,而對於未知、無法掌握的危安情況,能夠提前意識到嚴重性,並且及時改善。

對此,唯有偏執狂能生存(only the paranoid survive)是我最近經常想到的一句話,企業面臨需不斷創新、高速成長的壓力,但也應注意各種自保之道,如何提高容錯的能力、提供具有高可靠度的服務,適用於IT基礎架構的底層元件、乃至上層應用、資料,對於每個環節都必須更加嚴謹以對,因為一個小地方出錯,就能導致前功盡棄!他人若因此認為你過於偏執、瘋狂,其實也不足為奇,因為他們不了解後果會有多嚴重。

作者簡介


Advertisement

更多 iThome相關內容