Search
【9月9日至9月15日重點新聞】
除了自我要求較高的企業設置資安長,今年我國金融監理主管機關金管會研議修法,強制符合條件的金融機關必須設置,相關法令修訂將在9月陸續生效。
而本周受關注的威脅方面,微軟CVE-2021-40444漏洞與全新殭屍網路Mēris的DDoS攻擊趨勢備受關注。
還有一種釣魚威脅也值得注意,過去幾年已經發生,近一年來變得嚴重。簡單來說,現在許多網路服務會串接其他大型服務帳號,透過ID Federation的方式,簡化用戶在註冊帳號時的過程,但近年一直傳出攻擊者利用應用程式,以OAuth身分驗證誘騙使用者的方式,欺騙使用者授予權限,如此一來,攻擊者若取得Token,就能在不知道密碼的情況下,竊取該帳號的機密資料。此外,OpenSSL 3.0在本周釋出也成焦點
【9月9日至9月15日重點新聞】
除了自我要求較高的企業設置資安長,今年我國金融監理主管機關金管會研議修法,強制符合條件的金融機關必須設置,相關法令修訂將在9月陸續生效。
而本周受關注的威脅方面,微軟CVE-2021-40444漏洞與全新殭屍網路Mēris的DDoS攻擊全球趨勢備受關注。
還有一種釣魚威脅也值得注意,過去幾年已經發生,近一年來變得嚴重。簡單來說,現在許多網路服務會串接其他大型服務帳號,透過ID Federation的方式,簡化用戶在註冊帳號時的過程,但近年一直傳出攻擊者利用應用程式,以OAuth身分驗證誘騙使用者的方式,欺騙使用者授予權限,如此一來,攻擊者若取得Token,就能在不知道密碼的情況下,竊取該帳號的機密資料。此外,OpenSSL 3.0在本周釋出也成焦點
近三四年來,金管會陸續要求金融業應資安專責單位,以及設置資安主管,同時也鼓勵資安長。現在,2021年9月,要求金融業設置資安長一事,終於要成為法規命令。
目前以保險局進度最快,已在9月1日生效,銀行局與證期局也都將在本月底前通過修正案並發布施行。待這項法規生效後,金管會予以寬限期6個月,也就是說,2022年3月底前,國內所有本土銀行,以及達到一定條件與規模保險公司、券商、期貨商與投顧,都必續設立資安長
上周媒體報導首宗民眾手機被駭,轉帳通知簡訊被屏蔽,
讓歹徒從其 #網銀 帳戶盜轉26萬元得逞的案件。
金管會竟然以銀行未通報為由,毫無作為!
根據「#金融機構重大偶發事件通報標準」,
只要是有媒體報導足以影響信譽,
或是發生資通安全事件且造成客戶權益受損時,都需進行通報。
該案已符合上述2點要件,
永昌認為金管會應主動調查此案;
除此之外,#純網銀 即將在今年底上線,
金管會更應提升行動裝置的 #資安標準!
永昌要求金管會檢視現在常見的消費、轉帳通知管道,
如:簡訊、e-mail、#Line 官方帳號等示警功能是否真能達到完全保護消費者的目的,並思考還有沒有更安全的方式,
在帳號發生異常時,確保民眾收到通知。
永昌提醒金管會,如果駭客攻擊的不是民眾使用端的手機或電腦,
而是銀行端主機或官方帳號等,又該如何處置?
黃主委當場允諾,會將盜轉案件、通知民眾帳戶動態的管道,
與金管會8月份提出的「#3年資安行動方案」合併研究,
避免類似案件再度發生!
什麼是 資安 長?職責是什麼? 資安 長在公司裡應該扮演什麼角色? 資安 長與資訊長有甚麼不同? 資訊安全 可以外包嗎?中小企業如何面對 資安 的議題? ... <看更多>
金管會資安要求 在 不中斷的保險服務。 #金管會#保險業設置資訊安全長| Facebook 的推薦與評價
【金融最前線】金管會要求一定規模以上保險業設置資訊安全長 為提升保險業對資安議題之執行能力,本會已於110年9月1日修正發布「保險業內部控制及 ... ... <看更多>