【無資安意識的政府 還需要駭客嗎】
➡️五倍券網路登記,民眾為搶限量優惠,
短時間內大量連線湧入網站,造成網站大當機,
其中更發生金融機構用來增加資安保護的認證一次性密碼(OTP),
原應該透過簡訊或email傳送,竟然在網頁原始碼直接就可以看到。
OTP若可直接從瀏覽器取得,代表第二任證程序失效,有心人更有機會登入其他人的帳號,這次發生問題的是台灣Pay綁定郵局VISA金融卡,如果這樣的漏洞也存在郵局的其他系統恐造成嚴重的資安風險。
➡️另一個事件,教育部學習歷程檔案遺失事件,
108年新課綱,將學習歷程檔案將作為升學重要評分及錄取依據,
因此這些檔案對於學生來說相當重要,
這次在虛擬機VM搬遷的過程中,硬碟設定失誤,造成檔案永久消失,才讓大眾發現,原來這些重要檔案都沒有備份。根據一般業界的標準,檔案基本備份是三份,重要檔案可能更多,為求風散風險,這些備份檔案也會透過雲端儲存技術備份在不同地區,增加資料保護強韌度。但在此事件中僅是一個重新開機的動作就讓資料消失了。
資訊安全的內涵是保護單位或組織之資訊資產,並透過相關軟、硬體協助,如系統監測、權限控管等方式,確保資料/資訊的「機密性、完整性、可用性」。
五倍券驗證碼在不該出現的地方出現,是資訊的機密性出現問題;而學習歷程遺失則是在資料的完整性、未來的可用性發生狀況。
這兩個事件,都透露出政府資安存在很大隱憂。
政府的智慧化其實代表著,
未來會有更多的政府服務,
會透過科技工具來完成,
而資安的概念不是只有IT人員需要,
而是在整個政策規劃、管理及驗收各單位都需要的概念,
五倍券為了特殊目的在短時間開發出來的系統,
這個系統在規劃的同時是否考量資安相關問題,
在驗收的程序中是否有特別針對資安進行測試。
而在學習歷程的建制中,資料的重要性是否與採取的保護手段相符
這些過程都是可以發現資安問題的關卡。
因此,呼籲行政院應納入資安檢核程序在涉及科技服務採購、委外,
政府應建立資安風險評估機制,在採用數位方案前先進行資訊安全評估,
以確保政府資訊安全。
說個笑話,
國防部 沒想到誤觸雄三飛彈會射出去
經濟部 沒想到椅子滑會造成核電廠停電
教育部 沒想到手滑會讓學習歷程檔案全消失
#原來滑一滑就能滅國了
#教育部應保證學習歷程檔案不會再遺失
#政府資安真的不能等
郵局visa金融卡五倍券 在 蘋果新聞網 Facebook 的精選貼文
使用說明還是要看仔細吶...
👆《蘋果》新聞多,24小時陪伴你
【五倍券|數位綁定郵局VISA金融卡破10萬人 她漏「這動作」綁了也是白綁】
https://bit.ly/3u1Qjof
【下好離手不能改!8大振興加碼券首日結算4券最夯 全抽中可多拿2988元】
https://bit.ly/3hVAvPf
【五倍券熱區】
https://bit.ly/3CaqV2K
#蘋果生活 #五倍劵 #數位綁定 #郵局 #金融卡 #VISA #中華郵政
郵局visa金融卡五倍券 在 東森新聞 Facebook 的最佳解答
五倍券綁郵局「先存5000」才能用!她戶頭0元崩潰:怎麼辦?
#水獺編:大家綁定前一定要看清楚規定...
#五倍券 #數位綁定 #郵局