上市公司資安頻傳...金管會首季抽檢將翻倍 符合兩大要件須開記者會說明
管會今日還公佈一旦遭駭等發生重大資安事件時,若損失金額達3億或是達到股本的20%,就不只是發重訊而已,而是必須開記者會對外說明。圖/本報資料照片
上市公司資安事件去發發生太多,使金管會決定首季抽檢將翻倍,不只如此,金管會今日還公佈一旦遭駭等發生重大資安事件時,若損失金額達3億或是達到股本的20%,就不只是發重訊而已,而是必須開記者會對外說明。
金管會證期局副局長黃厚銘表示,今年第一季的抽核家數將倍增,比率從原先的0.5%,調高至1%。目前國內上市櫃公司家數約1816家,因此,今年第一季大約抽檢18家,原本是9家,不過從第二季開始,就會回到0.5%,對此黃厚銘說明,主要由於第一季的主題在於資安,所以增加一倍的抽檢量。
據金管會統計,近二年來,尤其從去年起進入資安事件高峰期,111年上市公司僅有5家發生重大資安事件,112年即大增至14家,而今年纔到2月底,就有6家,可見「駭客聲聲催」,外界估計應是金管會今年首季加碼抽檢的主因。至於上櫃被駭則變少,111年、112年、113年前二月分別發生6件、5件、2件。
在金管會的定義,只要是公司核心資通系統因爲被入侵,無法提供服務,就得被列爲資安重大事件;此外,金管會亦推動依風險等級分期加入臺灣電腦網路危機處理暨協調中心(TWCERT/CC)的共享資安情資聯防機制。
證期局副局長黃厚銘說明,證期局把上市櫃公司加入上述聯防機制的目標羣,分成二類,一類是第一級,符合第一級定義的,包括了資本額百億以上,或臺灣50成份股,或營業以透過電子方式媒介商品所有權移轉或提供服務者,例如電子銷售平臺、人力銀行這些;另一類就是第二級,是指第一級之外,最近三年未連續虧損且淨值不至於面額,符合這二級的目標羣,共有1567家。
黃厚銘表示,其中,第一級的業者,在去年底有101家加入,第二級則有621家加入,因此,目前共722家,未加入的有845家,該數據未括金融業,主要由於金融業另加入FISAC聯防機制。證交所及櫃買中心也會對有資安事故發生的公司,採取特殊監理的作爲,要求其加入該聯防機制。
證期局也表示,鑑於資訊化時代資通安全管理已成爲公司營運的重要議題,並攸關投資大衆權益,爲進一步強化上市櫃公司的資通安全,金管會近期已督導證交所及櫃買中心「強化監理」及「協助與輔導」二大面向推動資安治理相關精進措施,有八大措施,包括檢視修正「上市上櫃公司資通安全管控指引」、提高資訊安全內部控制查覈比例及追蹤缺失改善情形、修訂重大訊息問答集明確規範資安事件的「重大性」標準、落實企業對子公司資訊安全的監督與管理、強化資訊安全人員教育訓練、分享資訊安全事件案例、持續推動加入TWCERT/CC的資安聯防機制來分享資安事件情資、取得資安標準國際認證及取得外部驗證等,以協助企業提升資安自身防禦能力。
上市櫃公司被駭事件頻傳,金管會首季抽檢上市公司資安將倍增。圖爲鴻海集團子公司京鼎先前遭駭客入侵,駭客在京鼎公司網站昭告京鼎內部資料被竊的訊息。圖/擷取自京鼎網站