案例與背景
兩年前發生一則新聞,一位女子任職於手機通信公司,藉由幫主管登打帳務資料的機會,取得會計系統的密碼,多次修改帳務資料並躲過稽核,將不法取得的手機出售牟利,七年獲利達7000萬。 明明公司的生意很好,但卻一直虧損,經過蒐證才發現這名女子犯罪,現已被判8年徒刑
(一)這名女子趁主管交辦登打資料時,偷偷記下可修改公司會計系統的管理權限帳號及密碼,事後侵入公司電腦會計系統,以「調降手機商品成本、增加手機商品數量方式」,更改銷售會計系統,使帳面銷售金額與實際銷售金額一致,藉此規避公司會計查核,再侵占浮報的手機商品。但是犯案人每月只進入一次修改,非常的小心。
(二)一般資訊資產如智慧財產、帳務資料,交易資料、客戶名單、專案資料等都是,對於公司都是具有財務價值,存取這些資料都有應軌跡資料,可以究責與追查。
(三)在資訊安全的三個層面,這屬於破壞資料的完整性,蒙騙公司高階主管與財務人員以獲利,與一般網路詐騙案利用消費者的訂單資料的機密性以詐騙獲利。前者不需要駭客與車手,
後者需要駭客,詐騙集團,與車手聯手做案。
事件省思
這個案件其實源自於公司重要的資訊資產的密碼長期未更改,這名女子一時被委任接手主管登打資料的工作,取得帳號與密碼,爾後小心的長期利用。因為密碼沒有要求定期更換,使用該項資訊資產的紀錄也沒有人定期稽查。才造成這樣的後果。
這家公司分店有60餘家,理應有資訊人員管理,如果沒有至少也應該每年做一次資安稽核? 但或許公司不知道這樣的稽核對公司的效益為何? 或許公司認為沒有很多的資產設備? 費用是否很高? 直到案件爆發後。
資安稽核的建議
(一)至少要知道組織的資訊資產,並依其重要性予以分級,目的在於知道應該投入何種資源與成本來保護資產,例如購買防毒軟體,建立防火牆等。
(二)規範使用資訊資產的群組,區分使用的範圍以及權限,審查使用人的權限,期限等。以本案為例,這名女子可能臨時指派,如果規範財務群組使用,她可能無從接觸,也避免事件的發生。
(三)公司的資安政策規範使用資訊資產必須可以究責(accountable);凡使用必留下紀錄,任何的資安政策都會規定進入資產設備密碼必須定期更換。
(四)因此,重視資訊資產也應當每年固定做使用紀錄稽查,針對非上班時間使用,非固定IP使用,異常登入錯誤等疑點進行查核。
沒有留言:
張貼留言