證交所正式宣告憑證詐欺登陸台灣
2021年底發生駭客入侵全國各縣市教育局及學校網站竊取750萬餘筆個資,並且以每筆十至廿元價格賣給補習班業者。
2022年1月7日,證交所召集提供電子下單的數十家券商開會,要求全體券商包括自然人或法人在內客戶必須修改密碼,並以1月21日為最後期限,未能在期限內完成修改密碼的投資人其下單的電子金鑰或憑證將遭凍結。
起因正是券商遭到駭客攻擊在過去一個月頻率大增。
衡量一個資安事件的衝擊大小有三個變數:
分別是頻率(Frequency)嚴重性(Severity)可能性(Likelihood)
三者之間是彼此相乘而非相加,因此任何一個變數都足以大幅提高資安事件的衝擊。
首先報導指出過去一個月攻擊頻率大幅增加,其次取得客戶的下單電子金鑰或憑證對一家券商而言,其嚴重性不言可而喻。
至於可能性,金融服務相關行業本來就是駭客攻擊的首要目標之一。
依據〈IBM 2021數據外洩成本報告〉醫療產業是數據外洩平均成本居首位,金融業與科技緊追在後。
綜觀這三項變數,簡單的結論就是對券商而言往後資安事件衝擊將是極大幅度(Tremendous)的增加。
「Compromise」應該是現代資安攻防戰中最熱門的詞彙,但與「妥協」無關,而是指有心人,例如駭客或騙徒,以特殊手段「獲取」了原不屬於他們的東西,並發動後續的惡意行為,諸如「獲取」他人的帳號權限,甚至是重要主機的管理權限。
先前較常見的網路詐騙手法是商業郵件詐欺(Business email compromise, BEC)。依據〈IBM 2021數據外洩成本報告〉指出十大發起攻擊路徑(Initial attack vector),BEC造成外洩成本排名第一,平均每次事件損失達550萬美元。
另根據〈Hiscox Cyber Readiness Report 2020 網路就緒報告〉指出啓動資安保險(Cyber insurance)理賠的主要原因與勒索軟體(Ransomware)攻擊並列第一的也是商業郵件詐欺(BEC)。
而十大發起攻擊路徑之中,排名第一的攻擊路徑正是憑證詐欺(Compromised credentials),其次才是網路釣魚(Phishing)。
憑證詐欺通常是合法用戶的個人身份資訊,即Login的ID/Passwd被攻擊者取得,駭客可任意進出、取得、處分企業或個人數據資產。
在台灣憑證詐欺仍屬起始階段,可以預見未來將不斷傳出憑證詐欺事件。
〈IBM 2021數據外洩成本報告〉將外洩成本依會計成本分攤法(Activity-based costing)分成四大領域,分別是:
一、偵測與升級提報(Detection & escalation):包括數位鑒識與調查、評估與審計服務、危機管理及對執行主管與董事會溝通。
二、業務流失(Lost business):因為系統停擺的業務中斷與營收損失、重新取得客戶的成本、聲譽損失及商譽減損。
三、對外通告(Notification):對數據的主體的電郵與致電或一般性提醒注意事項、法規遵循的判決或裁罰、與監管當局的溝通、與外部專家的議合(Engagement)。
四、事後回應(Post breach response):服務櫃檯及內部的溝通、信用監控與身分保護服務、重開帳戶或重製信用卡、法務相關支出、產品折扣優惠、違規的罰款。
上述四大領域共有17項活動(Activity)成本支出,其中有11項損失或成本支出是可以藉由資安保險轉嫁損失的,關鍵在於保障內容的設計與挑選是否涵蓋「最適理賠項目」或「最少除外不賠項目」,其次是否與專精的保險經紀人合作。
上述相關工作是風險長(Chief Risk Officer)的主要職責,但遺憾的是台灣上市櫃企業大多沒有設立專責風險長,董事會既沒有風險管理委員會也未與外部風險顧問合作,輕忽風險管理卻奢言公司治理實在無法說服外資機構投資者。
我們經常看到緊急應變計劃(Incident response plan)、危機管理(Crisis management),兩者皆是風險發生後,為了降低衝擊或盡早恢復的一切必耍作為,並不限於發生資安事件。我曾經說明風險管理與危機管理的差異,主要在於主動與被動、全面與局部。
針對資安事件中有一項「危機救援服務」(Crisis service),顧名思義是處理資安危機,一般而言是指事件爆發的48小時內必須要展開的緊急處置,首先要立即成立緊急應變平台(Incident response platform, IRP),這個平台由資安長主導但必須納入承保資安保險的保險公司,共同合作展開四項工作;降低數據資產損失(Data asset loss)、鑑識(Forensics)、信用監控(Credit monitoring)及身分監控(ID monitoring)、對外通告(Notification)及成立Call center。
資安危機救援服務需要非常專業的團隊,等同於外科急診手術團隊,但大多數的企業認為平時資安維運的團隊即可勝任,有如要求門診醫生要衝到急診室緊急開刀,這其實是極大的錯誤期待。
雖然國際危機救援團隊收費不貲,但幸運的是透過妥善設計的資安保險得以轉嫁,但要提醒緊急應變相關費用在理賠時受到分項限額(Sub-limit)的限制,也就是最高理賠上限的一個比例,然而不同的保險公司有不同的比例,專業保險經紀人在投保之初即設定最佳比例,一旦發生資安事件,得以協助控制損失幅度及早恢復系統正常運作,這正是保險經紀人的價值所在。
倍安保險董事長 黃志明
攝影師:EKATERINA BOLOVTSOVA,連結:Pexels