金融监督管理委员会表示,远银遭骇有三大缺失,一是未落实资安控管 SOP,没有遵循最小授权原则;二是未依规定进行网段隔离;以及第三、事后检视稽核未落实。
远东国际商业银行 4 日遭骇客汇出约 6,000 美元(约新台币 18 亿元)跨国汇款,陆续追回 4,600 万美元并冻结有问题账户,预估最大损失约 50 万美元以下。
金管会主委顾立雄上午在立法院财委会表示,这次远东银行遭骇,主要是因为没 Follow SOP(标准程序)的过程,一旦检查报告确定,有缺失就会进行相关惩处。
检查局副局长叶淑媛指出,远银对资讯系统的权限管理订有内部 SOP,规范系统主机以及应用系统账户的授权,但却未落实遵循,即在资安管理上,没有符合最小授权原则,造成高权限的 SWIFT(环球财务通讯系统)账号、密码遭盗取。
叶淑媛说明,所谓最小授权原则,即系统管理超过授权范围时,须经过内部一定的控制程序后,才能一步步开放局部的权限,但远银一开始给的管理权限却是最高权限,因此,一旦系统遭骇时,就会做出很多高权限的行为。
叶淑媛进一步指出,金管会有鉴于国外出现 SWIFT 系统遭骇的情况,于去年 9 月发函银行公会,公会于去年底通知本国银行,要求各家银行加强对系统的管理、做好网段隔离,并列为各家银行内部稽核的重点,但远银却“只做半套”,也就是工作站的做法有合规,但主机却没有做到网段的隔离。
第三、远银内控三道防线的最后防线-内部稽核未确实,也就是,远银在事后的检视没有做好。
叶淑媛指出,金管会去年发函要求银行做好系统控管后,SWIFT 系统的安全性已列为检查局金检的重点项目,但检查局通常以每两年一次的频率对金融机构进行一般金检,远银并非今年金检对象,检查局是在遭骇事件爆发后对远银金检时,才发现远银未落实内控的第三道防线;相关金检人员仍在远银清查中。
另外,银行局要求远银 7 天内要交出内部检讨报告,但因为中间卡了几天的连假,银行局副局长庄琇媛说,会尽速要求远银交报告。
(作者:蔡怡杼;首图来源:pixabay)
