跨国保险科技新创 OneDegree 今日发表台湾保险业资安曝险调查报告,针对 30 家寿险及产险业者的外在资安曝险情形进行评级与分析。透过内部资安团队 Cymetrics 研发的曝险评估即服务 EAS(Exposure Assessment as a Service),结合法遵技术面之合规评估,望力助在地保险业者洞悉其可能存在之外在资安曝险,着手优化治理流程,提升风险管理效益。
本次资安曝险调查针对五大常见外部曝险面进行分析。首先是网络服务,95%以上的台湾保险业者皆有控管对外服务,资安评级平均落在 A 等级,即从外部的角度搜集不到资料,很难针对业者的对外服务进行资料搜集及攻击尝试。
第二是网站。调查显示,台湾保险业者资安评级平均落在 B- 到 B,也就是有外部曝险面上的弱点,可能因此成为攻击者攻击链的一环。而评级降低的原因主要在于业者网站的防御设定上有五项安全设置错误比例偏高,推测因其大多为预设的配置,导致容易被忽略。
第三是电子邮件,台湾保险业者资安评级平均落在 C 到 B-,也就是从攻击者的角度而言,有明显的资安弱点,若被攻击者发现则很有可能成为攻击链上的一环。而评级降低的原因主要在于业者大多忽略 DMARC 以及 SPF 设置,导致邮件系统安全出现弱点,使业者容易成为攻击者锁定执行社交工程攻击的标的。
第四是账号密码,台湾保险业者资安评级平均落在 A,不过需要注意的是有 20% 的业者在暗网被揭露相关账号密码等情资,产生极大的资安曝险,故此项目评级特别拆开为 80% 业者为 A+,而 20% 业者为 C+。
最后则是云端安全。调查指出,台湾保险业者评级分数皆为 A+ 以上。本调查并未发现保险业者在其网域名称下有任何对外公开之云端储存体或公共程式库,然而 OneDegree 预期在数位转型驱动下,有越来越多企业会逐步采纳公有云服务,因此将持续关注并扩充云端安全的曝险测试项目。
OneDegree 资安长周彦儒表示,近几年,骇客攻击标的正逐渐从银行业转向保险业,主要因保险业拥有庞大的数据资料,但资安成熟度较不足,骇客因此能以较低成本获取更高报酬。OneDegree 深知资安攻防是场不对称的战争,因此望透过本次的资安曝险调查报告,协助台湾保险业者以快速、简易、低成本的方式,洞悉其可能存在之外在资安曝险,化风险为企业竞争优势。
(首图来源:pixabay)
