Page 181 - 銀行法令遵循策略與實務
P. 181
監管科技發展
到重大的資安事故時,尤其是駭客跨國犯罪追查,如何在調查的
過程中有良好的官民合作模式,讓事件造成的損失降到最低。
這次被駭客盜走的匯款損失是否涵蓋在資安保險理賠的範圍
呢?答案並不盡然,若投保的類型屬資料保護保險類,主要是針對
行政罰鍰、名譽修復費用和後續調查費用,並無法針對駭客匯款
盜領的金額直接進行賠償。資料系統不法行為保險這類的保險,
在銀行遭受駭客攻擊事件造成資產損失時,才有可能依照理賠條
件,包括理賠上限,以及議定的銀行自負額等條件下進行理賠。
值得仔細探究的是,若非駭客直接竊取銀行資產造成損失,
例如勒索軟體贖款或 DDoS 攻擊造成業務中斷損失,並不在這類
保險涵蓋的範疇。評估透過資安保險作為事後的補償機制,如何
購買適合的險種,可盤點核心業務發生資安風險造成的損失,以
及近期國際資安威脅議題來進行評估。而資安保險保費也都相當
高昂,目前國內亦有在研擬根據資安數據蒐集,計算資安管理成
熟程度,來適時反映在投保費用上。
聯防維運構築起全面防護
資安單位在進行資安維運作業與應變對策須考量許多議題,
從 CSIRT 團隊設立的角度來檢視目前資安單位的功能、識別目前
尚未適度定義或管理的議題;在資安事故發生前,針對可能的情
173

