上市公司資安事件揭露範圍擴大,現在不論是否涉及核心、機密都要發布重訊
自5月底開始,上市公司一旦發生資安事件,不論是否涉及核心資訊系統、機密文件,都需要發布重大訊息。臺灣證券交易所在5月28日宣布此事,說明已修訂重大訊息問答集規範,要求上市公司充分揭露重大資安事件
上市公司資安重訊發布「重大性標準」有新變化,臺灣證券交易所(證交所)新修訂重大訊息問答集第26款的內容,要求上市公司只要發現遭駭客攻擊或入侵,現在不論是否涉及核心資訊系統、機密文件,都屬於對公司造成重大損害或影響,需發布重大訊息對外揭露。
由於證交所於今年1月,才開始明確規範資安事件的「重大性」標準,針對過去兩年多來有些企業不清楚何謂「重大」的問題,以此提出說明,沒想到才相隔四個月,又有新的調整。
關於這次新的規定,證交所是在5月28日宣布,他們表示日前已修訂重大訊息問答集第26款,呼籲上市公司在發生資安事件時,應依規定評估造成損害或影響的範圍,並切實依重訊處理程序發布重大訊息。至於櫃買中心是否也會跟著修訂,有待密切關注。
而從5月24日上架的新版重大訊息問答集來看,證交所已將第26款所列的核心、機密等字刪除。此舉,顯然是要將「重大性標準」放得更寬。只要「公司之資通系統、官方網站等,遭駭客攻擊或入侵,致無法營運或正常提供服務,或有個資、內部文件檔案資料外洩情事」,都要依照26款規定發布重大訊息。
換言之,現在上市公司一旦遭駭,對於判斷是否需要發布重大訊息,不只需要依循第26款原有的前兩種條件(依據發布重大訊息遵循程序及判斷標準評估並要留存相關軌跡紀錄、媒體報導公司發生資通安全事件),現在第三種條件除了已經明確定義規範內容,更將其標準進一步的放寬。
我們認為,放寬標準後,好處是讓企業在發生資安事件時,對於是否發布重訊能有更容易判斷的依據。從現在開始,不論企業是否清楚區別核心、機密,都要發布重大訊息。
而從資訊公開角度來看,此舉將讓投資人更清楚知道企業遭遇的資安問題,但是,日後資安事件重大訊息的數量與頻率,也很有可能會有大幅增加的情況。
至於放寬標準後,未來是否可能造成另外的困擾,對於企業而言,像是企業自身判斷屬於較輕的1級、2級資安事件,也需依重大訊息規定揭露為重大資安事件,因此後續情形有待觀察。對於主管機關而言,大小事件都揭露的好處是,可能讓一些蛛絲馬跡現形,但是否可能造成整體資安警報疲勞的問題,也還需要觀察。
另外,對於這次重大性標準內容修訂的變化,我們也詢問證交所,試圖了解是否有一些上市公司受駭卻沒有對外公布的情形,使得他們有此改變,他們僅表示,這次修訂主要是資安事件與日俱增,希望讓規範變得更清楚。
由於過去我們曾經看過不少例子,例如,在一些情資平臺上發現有勒索軟體組織宣稱國內上市公司成為其受害者,並宣稱竊取了多少資料,只是,這些公司並沒有回應我們的詢問,也沒有發布重大訊息,使我們無法了解是否真的有此一事,是否不屬於重大資安事件。如今,在這次修訂之下,無論資安事件大小都將公諸於外界。