一銀ATM遭盜領7000萬元,旗下分行所有德利多富同型ATM提款機全部暫停使用。圖/報系資料照



財經

資訊系統不准動! 新型駭客網路劫財

2016/10/17

今年一整個暑假,資安問題層出不窮,包括一銀ATM遭盜領、第一金證券被駭客勒索、雅虎證實用戶資料曾遭駭客竊取等。已公布的案件已經很驚人,沒公布的案件恐更多。

KPMG數位科技安全負責人謝昀澤表示,不只是金融業,幾乎所有產業的資訊系統都很不平靜,大則出現嚴重的駭客攻擊事件,小到每天幾乎都有公司中招的綁架軟體威脅。除了一銀外,近期來自金融科技、雲端服務、物聯網、行動APP應用產業的數位安全顧問服務需求愈來愈多。

駭客攻擊 走向組織化及專業分工

謝昀澤指出,過去駭客攻擊多是「孤狼型的單兵作戰」,鎖定攻擊目標後,專注研究系統弱點及漏洞,只要能「打趴系統」就能獲得成就感及滿足感,攻擊手段常見病毒或木馬程式攻擊。他分析:

『新型態的駭客攻擊已走向組織化及專業分工,犯罪集團內除有網路駭客高手,還有詐騙高手、作業流程漏洞探測高手及亡命車手集團。攻擊工具也走向大數據分析及自動攻擊,攻克對象除了特定網站,也延伸至ATM、核電廠、飛航網路等傳統認為「很放心」的地方,目的當然也不僅是打趴系統」而已。』

駭客已經從單兵作戰走向集團化,謝昀澤指出,近期發生的駭客攻擊事件,幾乎都與財務掠奪有關,也就是科技竊盜甚或是網路搶劫行為。數位科技安全議題,已不只是特定行業的合規或風險管理問題,更是企業營運及數位轉型的關鍵議題。

謝昀澤指出,資安議題可分為3個層次,分別為法遵、風險與營運,企業若再抱持「應付」心態,恐難面對駭客資安威脅。

駭客入侵企業也有成本與風險的考量,謝昀澤列出被盯上企業的8大評估標準,建議企業可依標準判斷是否要尋求專家協助。

謝昀澤分析,駭客喜歡攻擊最新與最舊的科技產品,因為舊科技易被人們遺忘,而新科技如物聯網、無人車等,則常為了績效急於搶攻市場,在尚未測試完成前就釋出,忽略了資安風險。企業對資安的重視程度,和資安防護成正比;常見的資安防護漏洞等,都是駭客的判斷來源。

就連智慧型手機也有資安風險。圖/報系資料照

就連智慧型手機也有資安風險。圖/報系資料照


1/2

容易被駭客盯上的8種樣態

因此,8大評估標準包括:

1、正大張旗鼓投入新興科技業務,或大舉擴張營業據點的公司,容易成為被攻擊的目標。

2、資訊設備與資安服務招標,偏好採價格標的企業,顯示經營高層並不重視,資安防護可能較薄弱。

3、號稱通過國際標準認證,卻僅限於資訊單位,其他分行或單位則完全沒有概念。

4、具備國外分支據點,且另有獨立連網閘道。

5、使用者端電腦可連外網,也可同時進行內部重要系統連線。

6、敏感核心封閉式交易系統,使用TCP/IP(傳輸控制協定/網際協定)網路連接。

7、防火牆規則超過3個月以上只開不關,或者長期沒有登入管理。

8、可由資訊人員辦公區域,直接操控網域管理、系統監控或程式變更重要系統。

偏好容易記憶的密碼是人的天性,卻讓網站帳戶易遭駭客入侵。(美聯社)

偏好容易記憶的密碼是人的天性,卻讓網站帳戶易遭駭客入侵。(美聯社)


2/2

公部門不能掉以輕心

私部門遭駭客攻擊的事件頻傳,公部門也不敢掉以輕心。財政資訊中心主任陳泉錫表示,未來將逐步建立技術自主能量,並成立數位鑑識團隊,以強化資訊安全,提升財政資訊的防護能力。

陳泉錫說,面對資安問題要要很謙卑,不敢說可以百分百防杜駭客,但預防做得好,就能及早阻絕,警覺性愈高,風險愈低。

聯合報/沈婉玉 報導
聯合報/鄒秀明、柯永輝、呂志祥、吳懿雯 製作
主圖/報系資料照

延伸閱讀