※ 引述《CMJ0121 (不要偷 Q)》之銘言:
: 在某一份工作 曾經替主管整理資料描述公司遭遇資安事件之後的可能下場
: 最近看到 iThome 的文章:被駭超過20次卻不知不覺的InfoTrax與FTC和解[0]
: 又想起當年整理的報告
在台灣如果不是發生像勒索病毒這種立刻癱瘓系統的攻擊
而是像資料竊取的資安事件
我認為可能也是一堆企業被駭客入侵而不自覺
看看去年的銓敘部和1111人力銀行個資外洩的事件
也是駭客把那些資料公佈在Raidforums論壇上
他們才驚覺已經被入侵了
代表當下也沒有即時發現和阻止
: 簡單來說:當一間公司的資安問題嚴重到被政府 (e.g. 美國政府) 盯上的時候
: 就會被罰錢 and/or 接受外部第三方的評估
: 這表示可能在某些年限中 (e.g. 10年內) 要被第三方做 code review
: 光公司內的 code review 就可以吵翻天了 不知道被公司外的人 code review 會怎樣啊
2018年政府就有開始實施資通安全管理法
其中有一項條例就是說公務機關和特定非公務機關(例如:金融業、電信業、醫療業)
發生資安事件時必須通報上級機關
否則會有罰鍰
但事實上若真的發生重大資安事件
以我聽到的一些資訊
反而會有更多的機關選擇隱瞞實情
因為有重大資安事件勢必就會被中央關切和檢討
之後還要繳交改善報告、還會被外部稽核
底下機關為了美化數據當然會想辦法粉飾太平