「風控模範生」玉山銀行驚傳網路銀行大漏洞,被偵測發現,有木馬程式試圖於該行網路銀行系統進行活動,約1萬6千筆客戶資料被盜走。金管會昨(9)日以「未落實資訊安全管理致客戶資料外洩」為由,經委員會議討論後決定核處該行400萬元罰鍰。
此宗案例為本國銀行圈罕見的網銀裁罰案,過去銀行業與資訊安全相關的案例,僅限於因人為管理導致信用卡個資外漏,或是金控公司因交叉行銷從客服中心外流資料,從來沒有因為網銀被駭客入侵、進而受到處罰。金管會銀行局目前認定此為單一個案,沒有在各銀行之間的網銀造成病毒擴散。
此次玉山網銀漏洞事件,所幸沒有造成該銀行資本損失或客戶資金被盜,但是金管會仍要求該銀行,強化資本適足以因應作業風險發生的衝擊,同時應該充分維護案關客戶的相關權利。
金管會表示,玉山銀行的網銀外洩客戶資料,駭客成功盜取客戶資料1萬6千筆,另有未成功的數千筆,違反銀行法第45條之1第1項、第48條第2項規定,即銀行應建立內部控制及稽核制度,縱使是銀行作業委託他人處理的部分,其對委託事項範圍、客戶權益保障、風險管理及內部控制原則,也應訂定內部作業制度及程序,特別是第48條第2項提及,對於客戶存款、放款或匯款等有關資料,應妥善保管。
金管會銀行局官員表示,在接獲銀行方面主動呈報後,即要求玉山銀行應立刻採行有效的改善措施,但資安漏洞需要外部專家協助複核,修補的工作時程長達數月,曾偕同銀行公會、財金公司組成專案小組完成調查,確認本案係屬單一金融機構未落實資訊安全防護作業的缺失,其餘金融機構網路銀行資訊安全控管作業均屬正常,目前相關缺失均已完成改善。
