Author: pumomss

向左思考 重塑資安策略新視角:「PADDA」 0

向左思考 重塑資安策略新視角:「PADDA」

擺脫被動,向左思考

「擺脫被動,向左思考,這是當今資安策略的新思維」。傳統的資安思維總是著重在防禦和補救,「向右思考」的模式雖然有效,但是被動的,總是在威脅發生後才採取應對。現在,我們需要新的思維「向左思考」,即在風險發生之前就採取預防措施和主動防禦。

「向左思考」源自於軟體開發中的「Shift Left」策略,將這理念引用資安領域,這種方法強調前期的防禦,並從系統設計開始就考量安全,減少潛在風險和漏洞。而駭客不斷升級與進化,企業如有向左思考的思維主動式出擊,當面臨威脅來臨前就做好萬全準備,就可以避免資安重大事件發生。

元盾資安執行長趙永弘分析目前台灣的資安現況,以向左思考模式,提出了上述見解。

企業新思維  納入SSDLC 測試階段

元盾資安執行長趙永弘提到「向左思考」是一種全新的安全思維方式,將安全性考量置於開發的開始階段,透過(白箱掃描)原始碼掃描,於軟體開發上線前做檢測,幫助企業提早應對各種潛在的資安威脅,著重的防護在安全開發、安全測試、持續監控。SSDLC強調將安全納入軟體開發生命週期各階段,軟體開發過程的每階段安全測試,進行各項必要的安全防護措施。

另外,也須考量到威脅分析的多面向,包括威脅類型、攻擊來源、攻擊目標等。元盾資安團隊協助企業將威脅進行有效的分類和排序,針對不同類型的威脅採取相應的應對措施,提供企業完整的資安策略!

資安策略新視角:「PADDA」主動式防護

未來企業之資安策略新視角,元盾資安提出「PADDA」主動式防護結合向左思考的概念,執行長趙永弘針對資安主動式防護的核心理念進行說明。

PADDA主動式防護包含五大要素,分別是「即時修補(Patch)」、「AIPT智能演練(AI Penetration Test)」、「主動誘捕(Deception)」、「持續監控(Detection)」、「主動警戒(Alert)」。透過這五項要素,企業能夠事先發現潛在威脅並快速應對,這就是元盾PADDA結合向左思考最重要的核心。

即時修補 強化企業前期防護

向左思考強調前期的防禦,我們協助企業在前期資安防護,透過弱掃等定期進行漏洞評估、更新版本與補丁管理等。主動識別和修復系統中的任何弱點,防止攻擊者利用這些弱點達到他們的目地。提早發現安全漏洞,立即更新,以確保系統免受已知威脅的侵害。

AI智能演練 掌握未知漏洞

AIPT以機器學習和演算法,從前期階段就開始自我學習, 並透過 EDR 、SIEM 或 Deception 搜集的異常行為和外部資料源自我學習,並利用AI人工智慧技術,藉機器學習演算法進行邏輯推理,來確定最有效的測試策略與技術。並持續的安全監測,及時發現新的或未知的漏洞。

誘捕陷阱策略 杜絕未知攻擊

具誘捕與主動防禦能力,透過刻意誤導與誘餌陷阱,透過吸引駭客發動攻擊,蒐集攻擊者的來源以及攻擊手法,觀察病蠕蟲、駭客入侵或惡意攻擊的來源、手段、管道及模式,杜絕未知威脅帶來的風險。這與「向左思考」的理念相契合,強調在開發的前期階段就開始考量並防禦未知的威脅。

7X24小時 持續偵測不中斷

「向左思考」思維,即在威脅發生前就有防禦的措施。透過專業人員 7×24 持續監控企業的網站、系統和應用程序,檢測潛在的資安威脅或異常行為,將損失降到最小。以自動化工具 IDS、IPS、SIEM、MDR、Deception 等系統,持續動態的監控,確保防護措施能夠隨時回應這些資安威脅。

主動警戒 精準判斷威脅

「向左思考」強調主動性和預防性,透過主動警戒持續監控系統活動或資安事件,可立即發現異常行為,根據威脅的嚴重性,發出不同等級的告警,判斷告警後通知真正需要告警的資訊,並提供安全團隊優先處理最緊急的問題,也可以預防發生嚴重的損失。

以上為執行長趙永弘強調元盾資安的核心理念-主動式防護 PADDA的精髓。

 

0

2024 臺灣資安大會 元盾主動式防護 PADDA

眾所矚目!!!台灣資安界最具影響力的臺灣資安大會CYBERSEC已於2024年5月14至5月16日共三天,如期在南港展覽館二館精彩展開!希望在三天的時間裡,為所有參與的貴賓帶來了一場令人難忘的資安盛會。

元盾資安執行長Thomas與前蔡總統合影

元盾資安總經理Jackey與副總統蕭美琴女士合影

在三天展會完美落幕後,我們也一起回顧這段充滿啟發與交流的展會,分享以下的回顧與感受。

元盾今年展覽的資安亮點為「主動式防護 PADDA,藍隊演練專家」,展示的PADDA著重五大面向都是現今企業所面臨的資安挑戰!

「Patch即時修補 」

「AIPT 智能演練」

「Deception主動誘捕」

「Detection持續監控」

「Alert 主動警戒」

同時,配合上一拳炸裂拳擊機吸睛遊戲,在資安大會成功地引起參與者的注目

,加深參與者對PADDA深刻印象,甚至吸引官方媒體前來拍照!

元盾資安 展攤現場

除了主攤位的PADDA外,位於台灣資安館的展攤則展示了自主研發的最新產品,

Web Protection。專注於網站資安的解決方案,為您的網站提供全面保護和安全防護。

數位發展部黃彥男部長蒞臨元盾攤位-台灣資安館

 

展期三天下來,我們認識許多資安界的翹楚。大家一起討論在資安上遇到的問題,相互切磋相互分享。分享了對於未來資安趨勢的見解,以及目前面臨的資安挑戰,收穫良多!

最後,再次感謝來元盾攤位的你們! 元盾將一起與您攜手守護資安,迎接挑戰,共同創造資安防護的新里程碑!

元盾期待於2025台灣資安大會與您再次相會!

2024台灣資安大會 圓滿成功

#南港展覽館2館

#2024台灣資安大會

#元盾資安

#PADDA 主動式防護

#藍隊演練

0

以守為攻,資安防護不再怕打!主動式資安防護 (PADDA)

台灣在全球晶片供應鏈中扮演著核心角色!近年來像是台積電、宏碁和友訊,還有政府機關,都成了全球網路駭客攻擊的目標。根據Fortinet最新的報告,台灣在亞太地區是攻擊最猖獗的地方之一,佔了整整55%,平均每秒還發生1.5萬次攻擊呢!簡直讓人怵目驚心。

在資安戰爭裡,企業常常得面對來自世界各地的敵人,他們通常都是採取被動式的防禦策略。但這意味著得先忍受一陣子的攻擊,有時甚至會損失不少重要珍貴的數位資產。事後的補救措施雖然可以解決當前的問題,卻無法預防下一次駭客使用新的手法或者新的漏洞來攻擊。

元盾資安總經理
黃信傑Jackey Huang
(主動式防護 藍隊演練專家)

《孫子兵法》裡的「用兵之法,無恃其不來,恃吾有以待也」提醒我們戰爭不能有半點僥倖心理,隨時都要準備好迎戰,讓敵人無從下手。這種始終不懈的精神正是元盾資安「主動式資安防護」的精髓。通過AIPT智能演練、主動誘捕、主動警戒、持續監控和即時修補等五大面向展現出來。

AIPT智能演練

透遇 EDR/SIEM /Deception/Recon所搜集的異常行為和外部資料源自我學習,利用機器學習演算法來確定最有效的測試策略與技術。持續的安全監測,及時發現新的或之前未被識別的漏洞。

DECEPTION主動誘捕

建立假的資源服務(例如,伺服器、數據、網路服務等)來誘導攻者進行攻擊,通過監測攻撃者的行為,收集關於攻撃方法、使用的工具,分析結果來優化現有的安全措施。

DETECTION持續防護

透過專業人員和自動化工具 IDS、IPS、SIEM、MDR、Deception 等系統,持續動態的監控,確保防護措施能夠隨時回應這些威脅。

ALERT主動警戒

持續監控網络流量和系統活動,以便立即發現異常行為,根據威脅的嚴重性,發出不同等级的告警,提供安全團隊優先處理最緊急的問題。

PATCH即時修補

發現了安全濕洞,就應該立即應用該更新,以確保系統免受已知威脅的侵害。因為攻擊者經常利用那些未及時修補的已知漏洞。

在資安戰爭中,企業雖然不是主動攻擊的一方,但卻可以成為主動防禦的一方。元盾資安的「主動式資安防護(PADDA)」通過AIPT智能演練、主動誘捕、主動警戒、持續監控和即時修補等手段,確保敵人絕無可乘之機。

0

零售業個資維護辦法上路 業者若違反最重可罰1500萬

為防堵個資外洩事件,經濟部表示,百貨超商等綜合零售業個資維護辦法今天上路,受規範業者須於6個月內訂定安全維護計畫,包含事故通報、會員個資管理機制,同時保障消費者可拒絕個資被用於行銷的權利,業者若違反規定最高可罰新台幣1500萬元。

為促使百貨、超商及量販等通路業落實保護民眾個資責任,經濟部商業司發布新聞稿表示,依據個人資料保護法第27條第3項規定訂定「綜合商品零售業個人資料檔案安全維護管理辦法」,並於今天發布施行。

經濟部表示,針對資本額達1000萬元以上、並有招募會員或可取得交易對象個人資料的綜合商品零售業者,應於辦法發布施行日起6個月內,完成個人資料檔案安全維護計畫訂定。

安全維護計畫包含個資蒐集、處理及利用的內部管理程序、界定個資的範圍及項目、資訊安全管理及人員管理、實施教育訓練及事故預防、通報及應變機制等,並應配置相當資源,落實個資檔案的安全維護及管理,防止個資被竊取、竄改、毀損、滅失或洩露。

其中,應變機制包含控制事故對當事人造成的損害,業者須於發現事故時起72小時內通報主管機關。

此外,綜合商品零售業者利用個資為行銷時應符合規定,包括業者首次利用個資為行銷時,應提供當事人或其法定代理人表示拒絕接受行銷的方式,並支付所需費用;當事人或其法定代理人表示拒絕接受行銷者,應立即停止利用。

至於會員與業者業務終止後的個資處理方法,安全維護計畫也特別規範個資至少需保存5年,以確保未來發生外洩事件調查。

商業司官員表示,若業者違反安全維護管理辦法,依照個資法規定,將處以2萬元以上200萬元以下罰鍰,並限期改正,若限期未改善或情節重大,將處以15萬元以上1500萬元以下罰鍰;屆期未改正者,採按次處罰。

為輔導業者訂定個人資料檔案安全維護管理計畫,商業司表示,將舉辦系列宣導說明會,以落實個資保護,降低個資外洩案件數量及發生頻率。

 

新聞出處:https://www.cna.com.tw/news/afe/202308010154.aspx

0

為什麼身分安全應該成為零信任架構策略的核心

 

為什麼身分安全應該成為零信任架構策略的核心

首先,在嚴峻的疫情期間,許多企業為避免影響日常營運業務活動,選擇開始建置能使員工遠端存取的系統和應用程式。然而,許多員工為提高工作生產力,選擇採用的新工具和應用程式,卻不小心忽略工具和應用程式皆應經過IT團隊認可才能確保安全性,因此容易在不知不覺中涉入未知的資安風險。再者,在數位轉型的推動下,企業更普遍地將大部分日常工作轉移到混合雲的環境中,使員工、供應商和合作夥伴都可以遠端存取大部分系統。同時,依據近期的一項Forrester報告,機器人流程自動化、實體機器人和物聯網系統等非人類身分也正在使企業勞動力不斷擴大。對於大型企業而言,這意味著現在有成千上萬人類和非人類身分,都能通過數百到數千個存取點。而網路犯罪分子深知,在這些身分存取權限未受充分監督的情況下,身分就是企業內最脆弱、最可幫助他們輕易取得企業關鍵的商務機密的資產。因此,保護這些身分的安全,確保強大的身分與存取權限管理對於企業來說至關重要,可有效把資安風險降到最低。

許多企業正逐漸將資安邊界的重心轉移到勞動力的身分保護,並且只對正確的身分提供必要的存取權限,其中員工、合作夥伴、供應商以及非自然人的機器人等身分都在保護的範圍內。正是基於這個原因,零信任架構資安計畫必須將身分安全作為根本要素。

「零信任」資安以「絕不信任,一律查證」做為基礎概念,代表在確認驗證其身分之前,任何使用者、設備、資源或應用程式都不應該被予以信任。而在預設不信任一切網路流量的前提之下,以身分為基準是唯一可行的資安策略。

在SailPoint委託Dimensional Research所執行的調查報告中,針對全球315名IT資安專家,調查其公司的安全和身分治理作法以及對零信任資安架構的採用情形,發現無所不在的辦公作業環境、不斷增加的雲端使用量,以及日漸猖獗的資安攻擊,正促使92%的企業紛紛採用零信任資安架構,因為零信任資安架構能夠為企業提供更廣泛的可見性、更即時的威脅偵測、更低的風險,以及更好的補救措施。

同時,在接受調查的IT資安專家中,幾乎所有受試者(97%)都認同身分是零信任資安架構的基本核心,但缺乏專業知識是妨礙企業採用零信任資安架構策略的最大原因。

既然組織需要零信任的專業知識和更容易整合的解決方案,那他們應該尋求什麼樣的身分安全解決方案呢?

以人工智慧和機器學習為基礎的強大身分安全解決方案,可以自動發現、管理和控制所有用戶的存取權限,並能夠與現有系統和工作流程進行無縫整合,為所有身分及身分存取提供單一監控儀表,使企業不僅能夠有效管理存取權限,確保用戶在需要時擁有所需的存取權限,並且能夠提前發現潛在威脅。

智能的身分管理平台可以在混合和多雲環境、遠距辦公及多項設備中,輕鬆識別身分風險、監控存取行為並優化角色執行權力,成為大規模保護業務和確保合規性的基礎。

透過管理各類數位身分的存取權限,企業可以擬定出一套能夠適應和回應不斷變化的組織和威脅態勢的零信任架構。重要的原則包括:

絕不信任,一律驗證:正確的存取權限決定必須依據情境與最新的身分資料而定。透過再簡單不過的身分驗證決策,以及對所有使用者建立完整的身分紀錄,包括所有權限、授權、屬性和角色,組織能夠在需要時準確地授予存取權限。

只適時提供適度存取權限:善用角色和複雜的存取策略邏輯,強制執行最小權限原則。具有明確定義和詳細存取角色的組織,能夠輕鬆分配、調整和撤除存取權限,避免出現一次性存取分配的風險,而這些存取權限經常被遺忘,而且大多數時候從未被撤除,因此極具風險。

連續監控、分析和調整:時時使安全處於最新狀態,並在變化發生及偵測到威脅時機動地應變。分析大量與身分相關的數據以適應組織的變化並做出正確的存取決策,需要透過以人工智能和機器學習為基礎的工具,以及與支持零信任策略的其他安全系統進行整合。通過使用身分數據,組織可以採用強大的策略確保資訊安全性時刻更新,並能在發生變化和監測到威脅時動態應變。

當企業專注於身分安全的核心時,便可以在不影響生產力或創新的情況下確保對資源的安全存取,在正確的時間提供正確的存取權限,從而在整個組織中提高安全性和合規性。

文章來源

0

白宮發布新網路安全策略,政府機構將使用「零信任」架構

日前美國政府公布了最新的網路安全政策,政府機構將使用「零信任」架構。

什麼是零信任?零信任的概念是什麼?核心價值又是什麼?

元盾將美國政府最新的網路安全政策翻成中文,並將文中重點標註出來,方便閱讀。

=====================================================

白宮發布新網路安全策略,政府機構將使用「零信任」架構

白宮底下的行政管理和預算辦公室(簡稱OMB)及國土安全部與美國網路安全暨基礎架構管理局(簡稱CISA)正針對關鍵零信任策略和技術指導徵詢大眾建議,藉以強化整個聯邦政府的網路安全。

近日OMB頒布了一項聯邦策略草案,表示將推動美國政府走向零信任架構。CISA也發表了他們的雲端安全技術參考架構零信任成熟度模型,以指導和協助組織/機構實施規劃。

零信任成熟度模型

OMB零信任政策的頒布支持了關於改善國家網路安全的14208號行政命令,該命令是協助民間機構基於零信任原則調整企業安全架構。該策略草案的頒布正說明了未來幾年內零信任對於聯邦民間機構的重要性及優先性,重點將著重在幾個關鍵安全成效上,並設定基準政策及技術要求。

OMB零信任策略的關鍵作法包含整合機構身份系統、利用多階段身份驗證防堵網路釣魚、將內部網路視為不受信任的加密流量、利用強化應用程式安全性讓資料數據更安全等更多方式。轉向採用零信任架構對於聯邦政府並非一蹴可及的政策,隨著新應用及新技術的出現,政府會隨時學習且調整作法。

CISA發表的雲端安全技術參考架構和零信任成熟度模型,也支持了關於改善國家網路安全的14208號行政命令。該架構是在美國數位服務(USDS)和聯邦風險與授權管理計劃(FedRAMP)貢獻之下,由多個機構共同開發而成。目標是為機構提供有關採用雲端服務的共享風險模型、如何構建雲端環境以及如何利用雲端安全狀態管理監控環境的指導。

零信任成熟度模型補充說明了OMB零信任策略,並協助機構開發零信任架構。成熟度模型為機構提供規劃和資源,以達到最佳的零信任環境。為此OMB和CISA正在zerotrust.cyber.gov徵詢大眾建議及反饋,藉以改進加強聯邦政府企業安全的戰略。

永不信任,一律驗證。我們透過今天的零信任公告,清楚地向聯邦機構傳達了這樣一個信息,他們不應該自動信任其周邊內外的任何東西。在授予訪問權限之前,對於任何要存取或連結系統的事物都要進行驗證。這是我們對於現代技術環境所賦予的期望,並期待從大眾的建議反饋中,使得策略更加強大。」聯邦首席資訊長Clare Martorana表示。

「聯邦政府的網路安全方法必須迅速發展,以跟上我們的對手的步伐。朝著零信任原則前進是實現目標的必經之路。今天所頒布的聯邦零信任策略草案,會幫助各機構將理論原則付諸實踐。雖然實施該計劃有其緊迫性,可是我們明白有更多專家及社群的共同參與,將有助於確保計劃正確地進行。政府歡迎任何改善聯邦網路安全及改善策略的建議。」聯邦首席資安長Chris DeRusha表示。

「零信任成熟度模型是CISA協助聯邦機構保護系統的方法之一,我們期待公布模型後,能從大眾得到更多的見解及看法。此外,CISA與美國數位服務(USDS)和聯邦風險與授權管理計劃(FedRAMP)共同合作,一起編寫了雲端安全技術參考架構。該架構可以對機構的安全雲端搬遷給予指引。藉由強大的合作關係及持續的合作之下,CISA會研發創新的方式保護不斷變化的網路安全,進而實現關鍵的聯邦資訊現代化。」CISA局長Jen Easterly表示。

「我們的對手不斷因應網路發展在進步,我們也理應如此。零信任原則是聯邦機構必須如何發展以滿足現今網路安全需求的核心。零信任策略草案將驅使各機構朝著正確的方向發展,協助制定趨近一致的網路安全態勢。我們歡迎任何大眾給予的建議,能讓策略更加強大且有效。」國家網路總監Chris Inglis 表示。

迅速改善網路安全,以身作則實施創新、有效的技術,是政府網路安全戰略的核心。今天,關於網路安全的行政命令正逐步實施中。我們也歡迎跟民營企業合作,共同致力於實現網路防禦現代化。」負責網路和創新技術的國家安全副顧問Anne Neuberger表示。

新聞來源的文章連結

英文原文來源

行政院國家資通安全會報技術服務中心新聞來源

資安人新聞來源

延伸閱讀的文章連結

雲端安全技術參考架構(Cloud Security Technical Reference Architecture)

零信任成熟度模型(Zero Trust Maturity Model)

OMB零信任政策

0

今年要求1千4百多家公司設置專責資安單位,目前僅2成達標

去年底上市櫃第一級公司皆已完成資安長、資安主管及至少2名專責人員的設置,在2023年底則是要求第二級公司需完成資安主管及至少1名專責人員的設置,今年已過去4個月,尚有1,171家上市櫃要行動。

這兩年,我國政府聚焦於推動產業落實資安,不論是規範企業揭露資安事件重大訊息,以及要求公司年報記載資安管理作為,成為不同產業上市櫃公司必要之務,還有逐年規範符合條件公司配置相應資安人力,例如,去年底要求113家上市櫃公司需設置資安長。

2023年還有哪些重要目標?臺灣證券交易所(證交所)公布最新推動現況,例如,要求1,443家第二級公司需在年底前,完成資安主管及至少1名專責人員的設置,而且,個資保護將是下一重點。

今年第二級公司要設置專責資安單位,已有270多家做到

為了強化上市櫃公司資安治理能力,金管會證期局與證交所之前已有公開說明,他們主要從資訊公開、公司治理、監理協助的角度出發,提出多項幫助上市櫃公司資安防護的措施。

關於這一年來的推動情形,從臺灣證券交易所副經理汪厚燊的說明來看,以資訊公開的推動面向而言,不論是重大訊息、年報上的資安揭露,以及內控度措施的資安檢查,都早已完成推動。

不過,在公司治理的推動面向上,我們注意到有兩大新進展受關注,分別是:資安長、資安專責單位及資安人員的設置狀況,以及公司治理評鑑項目的調整。

首先,目前各界最關切的焦點,就是要求上市櫃公司設置相關資安人力。

以2022年底對於第一級公司的要求而言,汪厚燊表示,目前這些被要求的102家上市及13家上櫃公司,均已完成資安長、資安專責主管及至少2名資安專責人員的設置。

而今年的重要進度,就是針對第二級公司的要求。值得我們關注的是,今年受規範的上市櫃公司數量龐大,共有1,443家需在2023年底達目標,完成資安主管及至少1名專責人員的配置。

目前這方面進度如何?汪厚燊指出,根據最新統計顯示(至4月30日止),國內已有270多家公司提早完成目標,比例將近2成,不過,此一進度算是偏慢,畢竟今年已經過去三分之一,仍有8成比例的公司還未行動。

同時,汪厚燊公布了更具體的統計資料,目前還有618家上市公司與553家上櫃公司,尚未完整設置專責資安主管及資安人員。其中,尚未設置資安主管的公司,有上市602家與上櫃546家,尚未設置資安人員的有602家上市與533家上櫃。

整體而言,還有大約1,100多家的上市櫃公司,要在接下來的8個月內,做好填補專責資安人力的工作。對於這樣的結果,我們認為,也反映普遍上市櫃內部缺乏專責資安團隊的現況。


圖片來源/臺灣證券交易所

為了提升上市櫃公司對資訊安全的重視,臺灣證券交易所副經理汪厚燊表示,今年重點是在第二級公司,目前尚有1,100多家上市櫃公司要完成資安主管及至少1名專責人員的配置,同時,政府也鼓勵這些公司能加入領域ISAC,或TWCERT等資通安全情資分享平臺,以達資安聯防之效。攝影/iThome

公司治理評鑑加分項目,今年新增導入資安標準並取得驗證

第二個新焦點,是在公司治理評鑑的修正,將完成導入「國際資安標準」並取得外部驗證,納為加分項目,可在公司治理評鑑的總分另加1分。

事實上,我們在2019年即注意到,治理評鑑項目首度新增資安相關內容:「2.24 公司是否建置資訊安全風險管理架構,訂定資訊安全政策及具體管理方案,並揭露於公司網站或年報?」。而在最新第九屆資安治理評鑑中,除了將上述指標的文字做調整,以符合「公開發行公司年報應行記載事項準則」修訂的內容,並特別將導入ISO27001、CNS27001或同等以上的資訊安全管理系統標準,並取得第三方驗證,納為公司治理評鑑的加分項目。

不過,汪厚燊強調,比起國外的公司治理評鑑所設定的資安指標來看,我們還有很大的提升空間。基本上,公司治理評鑑的目的,是促進公司本身主動增進治理水準與動力,藉由每年度自評逐步導引企業採用良善公司治理措施,而在國際間的公司治理評鑑中,資安評鑑指標項目的內容,還會涵蓋更廣。

圖片來源/臺灣證券交易所

以我國公司治理評鑑的資安指標而言,目前主要涵蓋面向是在:政策與機制、流程與基礎架構、引用國際標準,以及第三方驗證。但以道瓊永續指數(DJSI)、明晟永續指數(MSCI ESG)而言,其涵蓋範圍更是包括:定期弱點分析、事件因應、收集與留存資料最小化、政策涵蓋供應鏈及合作伙伴、資安教育訓練。

換言之,儘管國內還沒有將這些方面訂為評鑑項目內容,但企業也可從國際發展態勢作為借鑑,視為增加公司資安治理的要項。

促進資安訊息分享,第一級公司加入ISAC、TWCERT達8成

關於監理協助推動面向的新進展,主要焦點就是著重於資安訊息的分享。去年金管會證期局已開始鼓勵上市櫃公司,加入資通安全情資分享平臺,包括國內各領域ISAC(金融、科技、醫療、能源、通訊、交通),沒有產業限制的TWCERT,以促進上市櫃公司的資安情資分享與聯防。

這方面的進度如何?汪厚燊表示,截至今年3月7日為止,以第一級公司而言,102家上市公司中有91家加入,比例達近9成,13家上櫃公司有10家加入,比例達7成6。

以第二級公司而言,在772家的上市公司中,已經有242家加入,比例為3成1,在671家的上櫃公司中,已經有187家加入,比例為2成7。

總體而言,第一級公司的加入狀況還算不錯,平均在8成左右,但第二級公司還不夠積極。

因此,證交所與櫃買中心希望在2023年底前,能促進更多上市櫃公司加入這類平臺,取得資安預警情資、資安威脅與弱點資訊,以達資安聯防之效。

個資保護將成下一重點,內控查核將新增個資檢查項目

至於2023年下半,主管機關可能提出哪些新規範,汪厚燊透露,個資議題會是一大重點。

關於個資保護,不只是上市櫃公司,所有公司都應該要有所重視,因為近期政府動作連連。例如,在今年5月,國發會祭出防止非公務機關個資外洩的精進措施,就是針對個資而來。而且,個人資料保護法部分條文修正草案通過,將設立「個人資料保護委員會」,並將限期未改善或情節重大的最高罰責提高至1,500萬元。

而針對上市櫃公司,主管機關也將從監理協助的內控查核方面著手,新增加個資查核的項目來因應。

另外,汪厚燊表示,政府為了鼓勵企業重視資安規畫,除了祭出裁罰措施,也有提供獎勵計畫,例如,去年經濟部與財政部發布「公司或有限合夥事業投資智慧機械與第五代行動通訊系統及資通安全產品或服務抵減辦法」,首度將資安投資納入抵稅範圍,為期三年,今年將可開始申請2022年的資安投資抵稅,最晚申請時間是5月底。

針對三大資安作為揭露,證交所增加參考範例

近年來,我國強化上市櫃資安從資訊公開、公司治理,以及監理協助著手,自2023年推動概況來看,資訊公開方面新動向較少,因為多數都已完成,但我們最近發現,證交所在2021年12月底發布針對資安管理的股東會年報最佳實務參考範例,在2023年有新的版本,因此,我們在大會演說結束後詢問汪厚燊,目前看來,新版本是在2023年2月發布,當中對於資通安全風險管理架構、重大資通安全事件、資通安全風險與因應措施等層面的範例數量,將原本的1個變成2個,希望幫助上市櫃公司編製年報的人員有更多參考依據,符合主管機關、產業投資人的期望。

文章來源

0

立院三讀通過個資法修法,企業外洩個資可直接開罰要求改善,最重可罰1,500萬元

立法院今天(5/16)三讀通過個資法修正案,國發會指出,修正案加強對非公務機關違反安全維護義務,例如企業外洩個資事件,可直接開罰並限期改正,違反嚴重者最高可罰1,500萬元。另外,呼應各界要求設置獨立個資保護機關,行政院將儘速成立個資保護委員會籌備處。

此次個資法修法有2項重點,主要為第1條之1、第48條及第56條。首先是,針對外界認為個資法對企業違反安全維護義務罰則過低,主管機關往往先命改正後處罰,批評無法有效責成業者強化個資安全作為,因此在修正案中修改第48條規定,企業若違反安全義務將直接開罰,同時命其改正,並提高罰鍰上限,從2萬元以上20萬元以下,提高為2萬元以上200萬元以下。

如違反情節重大者,處15萬元以上1,500萬元以下罰鍰,屆期未改善者,得按次開罰15萬元以上1,500萬元以下罰鍰。

另一個修法重點是增加個資法第1條之1規定,由個人資料保護委員會擔任個資法主管機關,行政院將會積極推動設置個資保護獨立監督機關,以達成去年8月憲法法庭判決,要求3年內完成個資保護獨立監督機制,並解決目前個資主管機關分散,缺少個資保護的獨立專責機關問題,同時也能接軌國際趨勢。

國發會表示,此次修法將賦予行政機關更有效的執法權限,行政院也將儘速設立個資保護委員會籌備處,並推動組織草案、第二階段個資法修法工作。至於強化公務機關個資保護,將落實資通安全管理法對公務機關的規範,未來也會由獨立的個資保護委員會,就整體規畫公務及非公務機關個資保護監督機制。

此次個資法修法主要呼應外界限期改正再處罰、罰責過輕的批評,以及要求設立獨立個資保護主管機關。先前iRent發生40萬筆客戶資料外洩,雖然交通部公路總局成立專門的小組進行調查,限期要求改善,最後因業者限期未改善開罰最高20萬元,未來企業如再發生類似事件,將受到更高的罰鍰。另,根據媒體報導,政府計畫在8月成立個資保護委員會籌備處。

文章出處:https://www.ithome.com.tw/news/156904

0

誠品、iRent接連個資外洩,修法後最重罰1500萬!分析師:資安還要補強兩件事

2023年到現在,台灣已經發生至少15起資安事件,像是:華航的電商平台發生異常後傳出會員資料遭竊、微風廣場收到匿名勒贖信件後客戶資料外洩、威秀影城發生顧客個資外洩、宏碁資訊委外權限遭竊導致產品資料外洩……。究竟有沒有實際規範能加以約束?一次又一次引起了爭議。

立法院在本月16日三讀通過《個人資料保護法》部分條文修正案,針對近期多家企業發生的個資外洩事件提出舉措。

《個人資料保護法》修法兩大重點
修正個資法第48條非公務機關違反安全維護義務之裁罰方式及額度,改為逕行處罰同時命改正,並提高罰鍰上限,處新臺幣(下同)2萬元以上200萬元以下罰鍰,若是情節重大者,處15萬元以上1,500萬元以下罰鍰。屆期未改正者,按次處15萬元以上1,500萬元以下罰鍰。
第二,增訂個資法第1條之1規定,由個人資料保護委員會擔任個資法主管機關。行政院將積極推動設置個資保護獨立監督機關,以呼應去年8月12日憲法法庭第13號判決,要求3年內完成個資保護獨立監督機制之意旨,解決目前個資法分散式管理下之實務監管問題,並與國際趨勢接軌。
國發會表示,本次藉由修正裁罰方式及額度,以回應各界普遍反映業者違反安全維護義務罰責過低,且「先命改正」後處罰的方式,無法督促業者強化個資的資安維護。