遠銀事件恐再現? 餘宛如爆公股銀行系統30年沒更新
▲立委餘宛如。(圖/餘宛如辦公室提供)
遠東商銀日前遭駭客入侵盜走6000萬美元,民進黨立委餘宛如17日在立院舉行記者會表示,臺灣公股銀行的核心繫統始於1982年財政部的計劃,但系統卻超過30年未更新,太舊又難防護,恐成爲駭客下一個攻擊目標。對此,金管會銀行局表示,遠銀事件之後,銀行局會要求將資安情況列爲內部稽覈重點,金管會檢查局也會將此列爲檢查重點。
餘宛如表示,公股銀行的核心繫統始於1982 財政部的計劃。當時多使 IBM 等廠商的專屬、封閉式主機,並加以在地化。由於環境封閉、獨立,無法換其他廠 商的主機,也無法和其他系統連結。
她還指出,臺灣壽險業除國泰人壽外,在近三年陸續開始進行核心系統更新。此核心系統內包含保戶們的各種高度隱私資訊,且往往以「 戶」爲單位做歸檔,重要程度可比戶政資訊。但由於壽險業近年表現不盡理想,且負債率甚高,各家往往不得不使中國廠商低價得標。 中國資訊軟體產業與中國政府環環相扣,壽險業此舉無疑將臺灣的資料,甚至國家金融資訊拱手相讓中國。
因此,餘宛如呼籲立院趕緊通過本會期排在優先法案的《資訊安全法》,也指出金管會要儘速把資安環節列入銀行重要評鑑項目之一。
對此,行政院工程委員會企劃處長陳尤佳迴應,根據《採購法》,若投標標的屬經濟部投審會公告爲具敏感性、國安資安疑慮者,可在招標文件中,直接排除投審會公告的陸資資訊服務業者參與投標,若廠商有中資疑慮也可請經濟部投審會判別。
金管會銀行局組長邱美珠則表示,金管會希望在安全防護上提升產業對策能力,相關規範包括內部控制及內部稽覈制度實施辦法中就有規定,銀行業必須擬定資安防護機制,採取緊急應變計劃。銀行公會也幫會員機構訂定自律規範,且要定期檢視評估;而銀行業年度執行情形,必須在每年第一季向董事會提出報告,銀行局會加以督導。她說明,在遠銀事件之後,銀行局會要求將資安情況列爲內部稽覈重點,金管會檢查局也會將此列爲檢查重點。