遠東國際商業銀行SWIFT系統遭駭重大偶發事件所涉缺失事項,違反銀行法第45條之1第1項規定,依同法第129條第7款規定,核處新臺幣800萬元罰鍰
- 案件編號
- 201712180001
- 發文日期
- 2017-12-15 (中華民國106年12月15日)
- 發文字號
- 金管銀國字第10620006681號
- 受處分人
- 遠東國際商業銀行股份有限公司
- 統一編號
- 86517096 查看該公司所有案件
- 代表人或管理人
- 侯○○
- 地址
- 台北市大安區敦化南路二段205、207及209號1樓
- 罰鍰金額
- 800萬元
- 發布日期
- 2017年12月18日
主旨
貴行SWIFT系統遭駭重大偶發事件所涉缺失事項,違反銀行法第45條之1第1項規定,依同法第129條第7款規定,核處新臺幣800萬元罰鍰
案件內容
受文者: 如正、副本
發文日期:中華民國106年12月15日
發文字號:金管銀國字第10620006681號
受處分人姓名或名稱:遠東國際商業銀行股份有限公司
統一號碼:86517096
地址:台北市大安區敦化南路二段205、207及209號1樓
代表人或管理人姓名:侯○○
身分證統一號碼:略
地址:台北市大安區敦化南路二段205、207及209號1樓
主旨:貴行SWIFT系統遭駭重大偶發事件所涉缺失事項,違反銀行法第45條之1第1項規定,依同法第129條第7款規定,核處新臺幣800萬元罰鍰。
事實及理由:
貴行下列缺失,核有未妥適建立或未確實執行對資訊安全之內部控制制度:
一、資安防禦機制未完整建置:
(一)對SWIFT系統伺服器未評估區隔獨立網段,並設定網路存取規則(ACL)進行管控,不利網路安全。
(二)貴行雖已導入建置資訊系統日誌及事件分析管理平台系統(SIEM),惟未涵蓋SWIFT系統日誌(AP LOG)及資料庫監控系統日誌(GUARDIAN),致無法設定警示門檻值即時監控,不利後續問題分析。
二、系統管理者帳號之使用管理欠當:
(一)將日常維運之管理員帳號逕加入本機最高權限群組,未依最小權限原則授權。
(二)本機最高權限群組成員之帳號雖建立警示機制,惟就營業時間之警示機制未妥適建置。
三、資安事件緊急應變處理程序欠當:
本次受駭之部分資料庫因作業系統軟體受損而無法開啟,貴行僅就保存資料需求,緊急向廠商調度提供伺服器重新安裝作業系統,及將受損資料庫移轉至新伺服器與進行資料備份,未清查相關資料庫紀錄及資料傳輸途徑,不利確認個資是否外洩等個資安全性。
四、未落實依據本會銀行局105年9月5日銀局(國)字第10500202300號函及中央銀行105年6月21日台央外柒字第1050025451號函落實執行強化SWIFT系統安全:
(一)未將SWIFT伺服器實體隔離,且其伺服器區(Server farm)內僅使用核心交換器(coreswitch)設備管理網路聯通,尚未設定網路存取規則(ACL)管控。
(二)對SWIFT系統安全性及可疑交易定期檢測機制未臻完整。
五、未依「金融控股公司及銀行業內部控制及稽核制度實施辦法」之規定有效傳達法令,不利落實法令遵循:對銀行公會轉知會員依本會銀行局105年9月5日銀局(國)字第10500202300號函要求,對SWIFT系統加強管理及檢視所列資安管理措施,貴行僅將該函文轉知資訊服務處及國外部作業服務單位,未轉知法遵部門,不利落實對外部法令有效傳達。
六、未發揮內部控制第三道防線之功能:貴行內稽部門於105年12月間曾將中央銀行於105年6月21日函請銀行公會轉知各會員配合辦理強化銀行SWIFT作業系統安全事宜列為專案查核之查核項目,惟僅抽查工作站等作業面之安全管理,查核範圍明顯不足。
法令依據:銀行法第129條第7款規定。
繳款方式:
一、繳款期限:自本處分送達之次日起10日內繳納。
二、請依本會銀行局檢附之繳款單注意事項辦理繳納。
三、本案聯絡人:黃千倫,聯絡電話:(02)89689678,傳真電話:(02)89691354。
注意事項:
一、受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道2段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。
正本:遠東國際商業銀行股份有限公司(代表人侯○○女士)
副本:中央存款保險股份有限公司(代表人林代理董事長○○)、金融監督管理委員會檢查局、本會銀行局
返回列表
發文日期:中華民國106年12月15日
發文字號:金管銀國字第10620006681號
受處分人姓名或名稱:遠東國際商業銀行股份有限公司
統一號碼:86517096
地址:台北市大安區敦化南路二段205、207及209號1樓
代表人或管理人姓名:侯○○
身分證統一號碼:略
地址:台北市大安區敦化南路二段205、207及209號1樓
主旨:貴行SWIFT系統遭駭重大偶發事件所涉缺失事項,違反銀行法第45條之1第1項規定,依同法第129條第7款規定,核處新臺幣800萬元罰鍰。
事實及理由:
貴行下列缺失,核有未妥適建立或未確實執行對資訊安全之內部控制制度:
一、資安防禦機制未完整建置:
(一)對SWIFT系統伺服器未評估區隔獨立網段,並設定網路存取規則(ACL)進行管控,不利網路安全。
(二)貴行雖已導入建置資訊系統日誌及事件分析管理平台系統(SIEM),惟未涵蓋SWIFT系統日誌(AP LOG)及資料庫監控系統日誌(GUARDIAN),致無法設定警示門檻值即時監控,不利後續問題分析。
二、系統管理者帳號之使用管理欠當:
(一)將日常維運之管理員帳號逕加入本機最高權限群組,未依最小權限原則授權。
(二)本機最高權限群組成員之帳號雖建立警示機制,惟就營業時間之警示機制未妥適建置。
三、資安事件緊急應變處理程序欠當:
本次受駭之部分資料庫因作業系統軟體受損而無法開啟,貴行僅就保存資料需求,緊急向廠商調度提供伺服器重新安裝作業系統,及將受損資料庫移轉至新伺服器與進行資料備份,未清查相關資料庫紀錄及資料傳輸途徑,不利確認個資是否外洩等個資安全性。
四、未落實依據本會銀行局105年9月5日銀局(國)字第10500202300號函及中央銀行105年6月21日台央外柒字第1050025451號函落實執行強化SWIFT系統安全:
(一)未將SWIFT伺服器實體隔離,且其伺服器區(Server farm)內僅使用核心交換器(coreswitch)設備管理網路聯通,尚未設定網路存取規則(ACL)管控。
(二)對SWIFT系統安全性及可疑交易定期檢測機制未臻完整。
五、未依「金融控股公司及銀行業內部控制及稽核制度實施辦法」之規定有效傳達法令,不利落實法令遵循:對銀行公會轉知會員依本會銀行局105年9月5日銀局(國)字第10500202300號函要求,對SWIFT系統加強管理及檢視所列資安管理措施,貴行僅將該函文轉知資訊服務處及國外部作業服務單位,未轉知法遵部門,不利落實對外部法令有效傳達。
六、未發揮內部控制第三道防線之功能:貴行內稽部門於105年12月間曾將中央銀行於105年6月21日函請銀行公會轉知各會員配合辦理強化銀行SWIFT作業系統安全事宜列為專案查核之查核項目,惟僅抽查工作站等作業面之安全管理,查核範圍明顯不足。
法令依據:銀行法第129條第7款規定。
繳款方式:
一、繳款期限:自本處分送達之次日起10日內繳納。
二、請依本會銀行局檢附之繳款單注意事項辦理繳納。
三、本案聯絡人:黃千倫,聯絡電話:(02)89689678,傳真電話:(02)89691354。
注意事項:
一、受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道2段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。
正本:遠東國際商業銀行股份有限公司(代表人侯○○女士)
副本:中央存款保險股份有限公司(代表人林代理董事長○○)、金融監督管理委員會檢查局、本會銀行局