一封訊息讓金管會繃緊神經 將嚴防資安漏洞

4441
出版時間:2018/01/04 07:26
圖為金管會主委顧立雄。資料照片

為防堵駭客利用海外錄音設備作為「跳板」,以遠端連線進入內網,發生如第一銀ATM「自動吐鈔」事件,金管會罕見盯上具有網路連線功能的「自動化辦公(OA)設備」,包括數位錄影機(DVR)、錄音設備、電話交換機等,要求銀行公會擬定安控規範,全面防堵資安漏洞。

據了解,主因是在2017年4月,台灣電腦網路危機處理暨協調中心(TWCERT/CC)發布一項資安訊息:「殭屍網路Amnesia專門感染Linux系統,台灣成最大攻擊來源國」,該訊息才正式點燃了金管會的「潛在憂慮」。

該訊息指稱,該殭屍網路的惡意程式,可繞過防護系統檢測,直攻感染DVR設備,作為後續發動阻斷式攻擊的裝置;更令人憂慮的是,受感染的DVR設備全是中國一家「TVR同為數碼」公司製造,而台灣則是擁有最多該公司DVR設備的國家。

該網路攻擊弱點,是DVR廠商為了方便維護作業,在產品設計時都留有「後門」(遠端連線),加上使用懶人密碼,駭客可透過遠端連線「後門」,直接進入內網,竊取個資,或做為跳板進入其他內部系統。

金管會收到該訊息後,雙管齊下防堵,一是全面清查各銀行現況,二是要求銀行公會針對具有網路連線功能的「自動化辦公設備」做安控規範。日前公會理監事會也已通過相關安控規範。

據初步調查,各銀行都並未使用該中國公司製造的DVR、也無感染情況,但卻有近5成銀行,認為DVR不上網就沒有設安控機制。

金管會官員說,2016年發生ATM遭駭而自動吐鈔事件,就是駭客利用海外錄音設備,以遠端連線進入內網,因此DVR不論是否有網路連線,都有遭駭風險,都需設安控機制。

根據銀行公會「物聯網設備安全控管規範」,要求這些具有網路連線功能的「自動化辦公設備」使用者,應經身分驗證才能使用或管理設備、並以最小權限原則針對不同使用者的身分作授權。

二是針對資料傳輸,須以「加密」並藉由綁定網路卡號MAC位址等機制,增加連線安全性,三是設備應關閉不必要的網路連線及服務,並避免使用公開的網路位置。

最後是針對對老舊或小型的OA設備,且無法做系統更新或修補者,採限制網路連線能力、加強存取控制、網路連線行為監控,並訂定汰換期程。(廖珮君/台北報導)

 

下載「台灣蘋果日報APP


有話要說 投稿「即時論壇」
更多

《最新》

新聞