上市櫃公司資安重訊發布「重大性」標準出爐,不只明訂核心系統、官網遭駭,也涵蓋DDoS、個資外洩
臺灣證券交易所在1月發布新版「上市公司重大訊息發布應注意事項參考問答集」,明確規範資安事件之「重大性」標準,不只明訂核心系統、官網遭駭,也涵蓋DDoS、個資外洩。最近3月,金管會也公開預告此事,而櫃買中心也在3月8日發布相關修訂,讓外界更瞭解重大訊息處理程序法規,對於資安重訊發布的執行與判斷
上市櫃公司頻頻遭駭客網路攻擊,企業如何認定資安事件重大到需要揭露,是這兩年大家都想知道的資訊。
最近我們報導2023上市櫃資安事件態勢時,臺灣證券交易所(證交所)表示,這方面已有明確規範,就是今年1月釋出的新版「上市公司重大訊息發布應注意事項參考問答集」,當中有相關內容修訂。當時我們已經報導此事,最近3月,金融監督管理委員會(金管會)與證券櫃臺買賣中心(櫃買中心)有後續消息揭露。
具體而言,上述這個重大訊息問答集的內容,是針對現行法規「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序」(以下簡稱重大訊息處理程序)補充說明,主要是針對外界對於法規內容執行的諸多疑問,提供更詳盡的解釋。
這次修訂的重點在於,先前證交所的規範對於何謂「重大」,主要交由企業評估與判斷。例如,他們建議企業依據問答集中的「發布重大訊息遵循程序及判斷標準」評估,並要留存相關軌跡紀錄,又或是媒體報導公司發生資通安全事件,可能影響投資人的投資決策,需發布重大訊息。
現在證交所規範的部分不只上述內容,還更明確指出多種具體受害類型,需要發布重大訊息。
例如,公司的核心資通系統、官方網站或機密文件檔案資料等,遭駭客攻擊,遭入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊(DDoS)等,致無法營運或正常提供服務,或有個資外洩的情事等,即屬造成公司重大損害或影響,公司即應依重大訊息處理程序法規的第26款發布重大訊息。
顯然,證交所今年修訂此份問答集的用意,就是為了更具體定義重訊揭露的資安事件「重大性」而來,協助上市櫃公司發布資安重訊時,可以有個更具體的衡量標準。
金管會證期局首度公開聲明,櫃買中心3月亦完成修訂
在3月5日金管會的例行記者會上,證期局副局長黃厚銘也提到這項轉變。他特別預告今年資安治理推動的8項重點,而其中之一,就是修訂重大訊息問答集,明確規範資安事件之「重大性」標準。
由於這是證期局首次公開強調此事,因此我們也向其詢問,想瞭解細節。證期局表示,關於上市公司的部分,的確已在1月完成這方面的修訂,也就是發布新版「上市公司重大訊息發布應注意事項參考問答集」,至於上櫃公司方面,預計一段時間後也會完成。
相隔數日之後(3月8日),我們發現櫃買中心完成這方面的修訂,在其業務宣導網站釋出新版「上(興)櫃公司重大訊息發布應注意事項參考問答集」,讓外界更瞭解重大訊息處理程序法規,及主管機關對於「財團法人中華民國證券櫃檯買賣中心對有價證券上櫃公司重大訊息之查證暨公開處理程序」第26款資安事件「重大性」定義的執行與判斷。
換言之,現在不論上市、上櫃或興櫃公司,一旦遭遇資安事件時,對於判斷是否需要發布重大訊息,現在有更明確的規範內容,方便所有公司遵循。
儘管對於「重大」的定義,或許仍有商榷之處,但主管機關應該已經考量該如何讓所有企業都能遵循,畢竟每家公司規模大小不一,部分上市櫃公司被規範要設置資安長或資安專責單位,也是這一兩年才有的要求,因此很多公司可能還沒有資安長,或是沒有能力判斷資安事件是否屬於重大,是否有發布重大訊息的必要。
資安重訊揭露規範將滿3年,需留意規範修正最新變化
對於上市櫃公司而言,都很關注整體的資安事件重訊揭露上,有哪些重大變化?
雖然,發布重大訊息揭露資安事件的相關規範,是從2021年4月就開始施行,後續這3年來,我們也的確看到一些發生資安事件的上市櫃公司,依照規範發布重大訊息。
然而,我們從一些資安專家口中得知,到現在仍有上市櫃公司對此渾然不知,不知道企業發生重大資安事件要公告重大訊息,以及重大資安事件損失達到金額3億元或股本的20%,應召開重訊記者會對外說明。
而且,後續還有一些修正重點,也是需要留意的部分。例如,年報編制方面的變化,自2022年的年報開始,不只是記載資安作為,也要揭露重大資安事件的損失與影響,並說明遇到事件時,公司是如何因應。
接下來,在2023年的重大訊息處理程序修訂,對於重訊發布內容要求有微調,要與向外界及媒體說明的內容一致,並增訂不得有偏頗情形。
至於2024年的最新規範變化,就是上述重訊問答集的修訂,明確規範資安事件的「重大性」標準。
上市櫃公司違反重訊發布規範,最高罰5百萬元,金管會持續宣導規定
上市櫃公司發生資安事件需發布重訊時,除了注意2021年後的相關法規修正,更早之前的重大訊息規範,也不能忘記,因為這些規定至今仍被要求。
自數十年前主管機關要求重大訊息發布以來,至今已規範超過50種情況,可能對股東權益或證券價格有重大影響,需要上市櫃公司發布重大訊息,向投資人說明。例如,我們時常看到公司因重大的人事變動,而發布重大訊息。
「發生災難、集體抗議、罷工、環境污染、資通安全事件或其他重大情事」,也是需要發布重大訊息的情況之一種,而資通安全事件是在2021年後才明訂、增列於其中。
由於有上述規範,這一年以來,金管會證期局持續宣導下列事項,提醒上市櫃公司都要謹記與遵循。例如:(一)重大資安事件的發布時間,要在次一營業日開盤前2小時(7點前)發布;(二)違反重訊發布規定,可處違約金3萬~500萬元;(三)旗下子公司發生重大資安事件,母公司也需要替子公司進行公告。
近期是否有違反申報的相關開罰案例?我們回顧去年臺灣企業重大資安事件時,發現有家公司似乎是這樣的狀況。
根據櫃買中心11月9日公告,說明諾貝兒寶貝在9月14日查知客戶資料疑有外洩情事,但未依規定於期限內發布重大訊息,違反興櫃股票審查準則第34條規定,因此櫃買中心處以違約金15萬元。而該公司是在10月7日才發布重大訊息說明遭網路攻擊。
為了幫大家更清楚這些規範制定的起源,我們也進一步向金管會證期局確認。例如,要在次一營業日的開盤前2小時公告重訊,是2016年的重大訊息處理程序修訂所規範;違反重訊可罰3萬至500萬元,是在2011年就已經規範;子公司發生重訊相關情事,視同上市櫃公司重大訊息,應代為申報,這是2014年時的規範修訂。
到了今年,對於上市櫃公司而言,還有哪些要留意的監管態勢?從金管會近期的預告來看,上述子公司的方面就是一大關鍵。這是因為我們注意到,前述金管會表示今年將推動的8大措施,其中一項,就是聚焦於落實企業對子公司資訊安全的監督與管理。換言之,主管機關不只推動上市櫃公司強化資安,也促進這些上市櫃公司需同樣重視子公司的資安強化。
另外,金管會還將聚焦下列工作:提高資訊安全內部控制查核比例,以及追蹤缺失改善情形。這方面的力道加強,或許與近期上市櫃資安事件發生攀高有關。
至於其他多項監理協助措施,今年金管會也將持續進行,包括:針對2021年底發布的「上市上櫃公司資通安全管控指引」進行檢視修正,以及強化資訊安全人員教育訓練,分享資訊安全事件案例,持續推動加入TWCERT/CC分享資安事件之情資,以及取得資安標準國際認證及取得外部驗證,透過這些措施,以進一步推動上市櫃公司落實資安強化。