Page 181 - 銀行法令遵循策略與實務
P. 181

監管科技發展






               到重大的資安事故時,尤其是駭客跨國犯罪追查,如何在調查的

               過程中有良好的官民合作模式,讓事件造成的損失降到最低。
                   這次被駭客盜走的匯款損失是否涵蓋在資安保險理賠的範圍

               呢?答案並不盡然,若投保的類型屬資料保護保險類,主要是針對

               行政罰鍰、名譽修復費用和後續調查費用,並無法針對駭客匯款
               盜領的金額直接進行賠償。資料系統不法行為保險這類的保險,

               在銀行遭受駭客攻擊事件造成資產損失時,才有可能依照理賠條

               件,包括理賠上限,以及議定的銀行自負額等條件下進行理賠。

                   值得仔細探究的是,若非駭客直接竊取銀行資產造成損失,

               例如勒索軟體贖款或 DDoS 攻擊造成業務中斷損失,並不在這類
               保險涵蓋的範疇。評估透過資安保險作為事後的補償機制,如何

               購買適合的險種,可盤點核心業務發生資安風險造成的損失,以

               及近期國際資安威脅議題來進行評估。而資安保險保費也都相當
               高昂,目前國內亦有在研擬根據資安數據蒐集,計算資安管理成

               熟程度,來適時反映在投保費用上。


               聯防維運構築起全面防護

                   資安單位在進行資安維運作業與應變對策須考量許多議題,

               從 CSIRT 團隊設立的角度來檢視目前資安單位的功能、識別目前

               尚未適度定義或管理的議題;在資安事故發生前,針對可能的情




                                           173
   176   177   178   179   180   181   182   183   184   185   186