跳到主要內容區塊
:::

金融監督管理委員會及所屬113年度單位預算評估報告

Facebook twitter Plurk print
一六、為強化業者資安防護能力,允宜將金融業近年資安事件發生頻率及態樣納入考量,滾動檢討資訊安全檢查強度及成效 日期:112年10月 報告名稱:金融監督管理委員會及所屬113年度單位預算評估報告 目錄大綱:陸、檢查局 資料類別:預算案評估 作者:翁珮珊

檢查局113年度預算案「金融機構檢查」計畫編列2,423萬9千元,係辦理金融機構之檢查、缺失、改善情形追蹤及所報內部稽核報告之處理暨金檢法規之制定修訂等所需經費。經查:

(一)已將資訊安全列為一般檢查之查核項目,並辦理資訊安全專案檢查以深入檢視相關資安控管情形

隨著網路科技發展,金融服務數位化為必然發展趨勢,資訊安全提供服務環境信賴度,詢據檢查局表示,已將資訊安全列為一般檢查之查核項目,並依當年度監理需要、數位金融業務發展現況或社會關注之資安議題,決定檢查主題辦理專案檢查以深入檢視相關資安控管之辦理情形,該局於106年至111年間對本國銀行、證券業及保險業進行數次資訊安全專案檢查,各專案主題抽檢比率介於5%至100%間,至缺失部分則視違失程度不同而予以不同裁處(詳表1)。

表1 106至111年度資訊安全之專案檢查情形

年度

業別

專案檢查主題

家數

抽檢

比率

檢查有缺失家數

裁處類型及家數

106

證券業

電子交易專案檢查

5

20.8%

5

函請改善5家

銀行業

本國銀行數位金融服務專案檢查

5

13.2%

5

銀行業

本國銀行SWIFT系統資安專案檢查

8

21.1%

7

核處罰款800萬元1家

107

銀行業

本國銀行SWIFT系統資安專案檢查

4

10.5%

4

銀行業

本國銀行金融服務業網路安全規範遵循度專案檢查

9

100%

9

保險業

壽險公司電子商務系統專案檢查

5

35.7%

5

核處罰鍰60萬元及糾正1家

糾正2家

核處罰鍰240萬元、糾正及限期改善1家

核處罰鍰120萬元及糾正1家

108

銀行業

本國銀行主機系統安全維護、監控及緊急應變專案檢查

5

13.9%

5

銀行業

本國銀行物聯網設備資安專案檢查

5

17.2%

5

銀行業

中華郵政公司資訊系統安全專案檢查

1

100%

1

保險業

產險公司資訊作業專案檢查

1

5%

1

糾正1家

109

銀行業

本國銀行主機系統安全維護、監控及緊急應變專案檢查

3

8.3%

3

銀行業

本國銀行電子銀行交易面安全設計專案檢查

3

8.3%

3

保險業

壽險公司資訊作業專案檢查

2

11.8%

2

核處罰鍰120萬元及糾正1家

核處罰鍰60萬元及糾正1家

保險業

電子商務系統專案檢查

3

20%

3

核處罰鍰120萬元及糾正2家

核處罰鍰60萬元及糾正1家

110

證券業

證券公司資訊作業專案檢查

5

20.8%

5

函請改善2家

核處罰鍰48萬元、增加自有資本計提及糾正2家

核處罰鍰24萬元、增加自有資本計提及糾正1家

保險業

個資保護專案檢查

3

產險5%、

壽險9.5%

3

糾正1家

核處罰鍰60萬元及糾正1家

111

銀行業

本國銀行應用程式介面(API)安全管理專案檢查

2

5.1%

2

銀行業

本國銀行個人化資料自主運用(MyData)安控機制專案檢查

4

10.3%

4

說 明:1.抽檢比率=各業別受檢總機構家數/各業別符合篩選條件總家數。

2.據金管會提供資料,112年截至7月底止,有1件「保險業對外服務系統資訊安全專案檢查」尚在執行中(抽檢家數共4家,產、壽險業之抽檢比率分別為10%及9.5%)。

資料來源:金管會。

(二)允宜持續將金融業近年發生資安事件頻率及態樣納入考量,滾動檢討資訊安全檢查強度及成效

觀諸前述106年至112年7月間專案檢查之業別及抽檢比率,其中證券業進行專案檢查之次數相對較低,僅分別於106年及110年進行專案檢查,抽檢比率皆為20.8%,詢據檢查局表示,109年起已責請證券周邊單位對證券商資安加強查核,該局則聚焦特定風險業務項目,適時規劃辦理證券商資安主題式專案檢查,及周邊單位專案檢查,並將周邊單位查核證券商資安作業品質列為重點查核事項;惟檢視109年至112年間,部分證券期貨業曾發生因受駭客攻擊、電信業者網路影響等致系統異常等資訊安全事件(詳表2),鑒於檢查具缺失稽核功能,專案檢查較一般檢查亦更具深度,允宜將金融業近年發生資安事件之頻率及態樣納入考量,滾動檢討資訊安全檢查強度及成效情形,以引導業者強化資安防護能力。

表2 109年至112年7月底止金融業者資訊安全事件一覽表

年度

金融機構

事件概述

109年

1家

銀行業者

該行因資訊系統轉換隔日陸續發生自動化服務設備(ATM)短暫服務中斷及網路銀行登入困難等情事,造成部分交易扣帳未吐鈔、扣帳未入帳、存款未入帳等情況。

110年

7家

證券商

因證券商未落實網路下單系統登入應採雙因子驗證致複委託下單系統遭駭客成功入侵,且有客戶帳戶遭偽冒下單港股情事,經證券商以錯帳方式處理後,投資人未遭受損失。

1家

銀行業者

1.該行於110年10月及111年3月間發生多次金融整合前置管理系統異常,造成部分交易扣帳未吐鈔、扣帳未入帳、存款未入帳等情況。

2.該行於111年10至11月間先後發生機房電力設備異常致ATM、網路銀行及信用卡收單服務無法正常運作以及因擴充網路銀行及行動銀行中台服務系統前端之「商業邏輯層」資源,造成後端「通訊層」交易資訊累積,致網路銀行、行動銀行交易緩慢等情況。

111年

1家

銀行業者

12家證券商及9家期貨商

因電信業者網路異常致影響多家證券期貨商之電子下單系統提供服務異常,事件發生時證券期貨商已採行切換備援線路、通知客戶下單替代方式等措施,尚無接獲投資人反應權益受損情事。

4家

證券商

部分證券商遭DdoS分散式阻斷攻擊,因導入流量清洗服務,未造成公司系統任何影響,各服務運作正常。

1家

信用合作社

該社發生電腦主機設備故障,跨行交易服務中斷且未依規定通報重大偶發事件,尚無客戶投訴及造成客戶權益損害之情形。

112年截至7月底

1家證券商及1家期貨商

電子下單系統異常,經證交所查核後發現該公司有未確實對憑證系統連線機制進行參數容量測試、未確實執行應用系統壓力測試作業、所訂網際網路下單服務品質作業細則未包含完整之交易安全性及穩定性規範、未訂定憑證系統故障復原標準作業程序,及憑證系統資料庫主機未有足夠之資源配置等情事,兩公司均與受影響客戶全數達成和解。

資料來源:金管會,本中心彙製。

綜上,檢查局於106年至112年7月間辦理多次專案檢查以深入檢視業者相關資安控管情形,惟其中證券業進行專案檢查之次數相對較低,鑒於近年證券期貨業曾陸續發生駭客入侵或受電信業者網路異常等影響致系統發生異常之情事,而檢查具缺失稽核功能,宜將近年發生資安事件之頻率及態樣納入考量,滾動檢討資訊安全檢查強度及成效情形,以引導業者強化資安防護能力。

(分機:8660 翁珮珊)


下載

一六、為強化業者資安防護能力,允宜將金融業近年資安事件發生頻率及態樣納入考量,滾動檢討資訊安全檢查強度及成效-附件1(doc) (odt) (pdf)
2023-10-01