根據金融監督管理委員會(以下簡稱金管會)明文規定,國內任何一家上市、上櫃或興櫃公司出現重大資安事件時,應即時發布重訊;如果損失超過實收資本額20%或新台幣3億元以上,須進一步召開重訊記者會。
但「重大性」的標準是什麼?企業如果違反發布規定會有什麼後果?以下根據證交所、櫃買中心在今(2024)年發布的公開文件,整理2點注意事項,提供企業參考:
企業重大資安事件定義出爐,以下受害類型都須發布重訊
公開文件指出,以下幾種受害類型需要發布重訊: 包含公司的核心資通系統、官方網站或機密文件檔案資料等,遭到入侵、破壞、竄改、刪除、加密、竊取、分散式阻斷服務攻擊(DDoS)等,導致無法營運或正常提供服務,或者發生個資外洩等 。
比如華航在2023年1月被踢爆會員資料外流,像是副總統賴清德、台積電創辦人張忠謀、名模林志玲的個資都遭外洩,該公司隨後發布重大訊息,揭露接獲匿名網路勒贖信件。
微星科技(MSI)在去年4月也發布重訊公告表示,公司部分資訊系統遭受駭客網路攻擊,但已經於第一時間啟動相關防禦機制與進行復原,並且通報政府執法部門及資安單位。
何時發布重訊?違反會被罰多少?
執法部門也規定,企業必須在台股開盤前2小時(上午7點前)對外發布重大訊息,若未揭露依法可處新台幣3萬元~500萬元罰鍰。
最近的一次案例,即連鎖藥妝通路諾貝兒寶貝(丁丁連鎖藥妝)在去年9月14日查知客戶資料疑有外洩,但未依照規定於期限內發布重訊公告,因此被櫃買中心處以違約金新台幣15萬元,該公司在10月7日才發布重大訊息說明遭網路攻擊。
子公司遭駭,母公司必須出面
此外,旗下子公司一旦發生重大資安事件,母公司需要替子公司進行公告。
舉例來說,和泰汽車旗下的共享汽機車平台iRent在去年1月爆發個資外洩事件,和泰汽車須代為公告。
與此同時,受害企業應該在年報、公開說明書中詳細敘述資通安全管理政策和方案、所投入的資源、資安風險的影響程度與因應措施,以及所遭受的重大資通安全事件對企業的影響(如營運或商譽損失)。
證交所提供的範例如下:
○○公司於民國X年X月受到電腦病毒感染,影響部分電腦系統及廠房機台,致相關生產亦受波及。
此次病毒感染的原因為內含○○公司未知的惡意軟體之新機台在○○員工安裝的過程中操作失誤。○○公司網路防火牆亦未能有效地防止病毒擴散。雖然資料的完整性和機密資訊皆未受到影響,
此次電腦病毒感染造成出貨延誤,本公司已於X年第X季認列電腦病毒感染相關損失新台幣X元(美金X元),帳列營業成本項下。○○公司已採取改善措施,例如實施自動化系統以防止安裝無保護的機台;強化網路防火牆與網路控管以防止電腦病毒跨機台及跨廠區擴散;進一步改進○○公司惡意軟體防護的措施也已在進行中。
○○公司已額外編列適當的預算強化資訊技術安全,但仍無法保證公司免於惡意軟體的攻擊。
無法合理估計損失範圍者,也應說明無法合理估計的事實。
責任編輯:林美欣
