【無資安意識的政府 還需要駭客嗎】
➡️五倍券網路登記,民眾為搶限量優惠,
短時間內大量連線湧入網站,造成網站大當機,
其中更發生金融機構用來增加資安保護的認證一次性密碼(OTP),
原應該透過簡訊或email傳送,竟然在網頁原始碼直接就可以看到。
OTP若可直接從瀏覽器取得,代表第二任證程序失效,有心人更有機會登入其他人的帳號,這次發生問題的是台灣Pay綁定郵局VISA金融卡,如果這樣的漏洞也存在郵局的其他系統恐造成嚴重的資安風險。
➡️另一個事件,教育部學習歷程檔案遺失事件,
108年新課綱,將學習歷程檔案將作為升學重要評分及錄取依據,
因此這些檔案對於學生來說相當重要,
這次在虛擬機VM搬遷的過程中,硬碟設定失誤,造成檔案永久消失,才讓大眾發現,原來這些重要檔案都沒有備份。根據一般業界的標準,檔案基本備份是三份,重要檔案可能更多,為求風散風險,這些備份檔案也會透過雲端儲存技術備份在不同地區,增加資料保護強韌度。但在此事件中僅是一個重新開機的動作就讓資料消失了。
資訊安全的內涵是保護單位或組織之資訊資產,並透過相關軟、硬體協助,如系統監測、權限控管等方式,確保資料/資訊的「機密性、完整性、可用性」。
五倍券驗證碼在不該出現的地方出現,是資訊的機密性出現問題;而學習歷程遺失則是在資料的完整性、未來的可用性發生狀況。
這兩個事件,都透露出政府資安存在很大隱憂。
政府的智慧化其實代表著,
未來會有更多的政府服務,
會透過科技工具來完成,
而資安的概念不是只有IT人員需要,
而是在整個政策規劃、管理及驗收各單位都需要的概念,
五倍券為了特殊目的在短時間開發出來的系統,
這個系統在規劃的同時是否考量資安相關問題,
在驗收的程序中是否有特別針對資安進行測試。
而在學習歷程的建制中,資料的重要性是否與採取的保護手段相符
這些過程都是可以發現資安問題的關卡。
因此,呼籲行政院應納入資安檢核程序在涉及科技服務採購、委外,
政府應建立資安風險評估機制,在採用數位方案前先進行資訊安全評估,
以確保政府資訊安全。
說個笑話,
國防部 沒想到誤觸雄三飛彈會射出去
經濟部 沒想到椅子滑會造成核電廠停電
教育部 沒想到手滑會讓學習歷程檔案全消失
#原來滑一滑就能滅國了
#教育部應保證學習歷程檔案不會再遺失
#政府資安真的不能等
機密性完整性可用性 在 板信商業銀行 Facebook 八卦
板信銀行 通過國際ISO 27001:2013資訊安全管理制度認證!
板信商銀 資訊安全管理制度正式接軌國際標準。
提供您最佳安全穩定、值得信賴之金融服務!!
本行重視資訊安全與積極發展數位金融業務,
經過SGS預評、書面審核及實地查核等程序進行驗證,
11月順利通過審查,達成符合機密性、完整性、可用性之資訊安全管理目標,
持續提供板信客戶更安全、更穩定且值得信賴之金融服務。
【新聞旋轉門】
https://bit.ly/2URh9NU
https://bit.ly/2A73qd4
#板信商銀
#板信商業銀行
#板信銀行
#板信
#SGS
#ISO27001
#2013資訊安全管理制度
#數位金融
#資訊安全
機密性完整性可用性 在 思科台灣 Facebook 八卦
【思科榮獲ISO27001國際認證 值得信賴的資安防護好夥伴】
在全球資安保衛戰中,思科屢屢傳出捷報!我們再度通過ISO 27001國際資訊安全管理認證,展現對客戶和合作夥伴的安全保密承諾。
ISO 27001國際資訊安全管理認證,主要驗證目的在於資訊安全管理制度(ISMS)能符合CIAL(機密性、完整性、可用性、適法性,四種特質)條件,而思科由公正獨立的第三驗證機構-TÜV南德意志集團評鑑風險,確保保障資訊資產,並提高客戶對我們的信心與肯定。相信在資訊安全的道路上,思科堅持成為企業可託付的好夥伴!
👍思科全方面保護您的數據安全>>http://cs.co/61808Z5Dj
👍熱騰騰的思科ISO 27001認證報告書>>http://cs.co/61818Z5Dd
👍了解更多思科完善網路服務>>http://cs.co/61828Z5De
#security #思科台灣 #iso27001