※ 引述《CMJ0121 (不要偷 Q)》之铭言:
: 在某一份工作 曾经替主管整理资料描述公司遭遇资安事件之后的可能下场
: 最近看到 iThome 的文章:被骇超过20次却不知不觉的InfoTrax与FTC和解[0]
: 又想起当年整理的报告
在台湾如果不是发生像勒索病毒这种立刻瘫痪系统的攻击
而是像资料窃取的资安事件
我认为可能也是一堆企业被骇客入侵而不自觉
看看去年的铨叙部和1111人力银行个资外泄的事件
也是骇客把那些资料公布在Raidforums论坛上
他们才惊觉已经被入侵了
代表当下也没有即时发现和阻止
: 简单来说:当一间公司的资安问题严重到被政府 (e.g. 美国政府) 盯上的时候
: 就会被罚钱 and/or 接受外部第三方的评估
: 这表示可能在某些年限中 (e.g. 10年内) 要被第三方做 code review
: 光公司内的 code review 就可以吵翻天了 不知道被公司外的人 code review 会怎样啊
2018年政府就有开始实施资通安全管理法
其中有一项条例就是说公务机关和特定非公务机关(例如:金融业、电信业、医疗业)
发生资安事件时必须通报上级机关
否则会有罚锾
但事实上若真的发生重大资安事件
以我听到的一些资讯
反而会有更多的机关选择隐瞒实情
因为有重大资安事件势必就会被中央关切和检讨
之后还要缴交改善报告、还会被外部稽核
底下机关为了美化数据当然会想办法粉饰太平