第一商業銀行自動櫃員機(ATM)遭異常提領所涉缺失事項,金管會認其違反銀行法第45條之1第1項規定,並依同法第129條第7款規定,核處新臺幣1,000萬元罰鍰;另案關缺失有礙貴行健全經營之虞,併依銀行法第61條之1第1項第2款規定,在缺失原因未查明及改善完成前,暫停其ATM無卡提款業務。裁處理由如下(金管會中華民國105年9月12日金管銀控字第10560003721號函參照):

  1. 辦理分行ATM及錄影監視系統之維修保養作業,於機器故障或異常使用時,有漏未將相關原因及處理情形予以登記,且有未查明維修工程師身分、未在場監督或未全程陪同及未留存維修工作單之情形;另分行ATM之錄影監視有錄影監視畫面不連續、無影像且與相關紀錄不符之情形。違反「金融機構安全維護管理辦法」第5條第6款、「金融機構自動櫃員機安全防護準則」、及「第一商業銀行自動櫃員機安全防護作業要點」等規定。
  2. 未依「金融機構安全維護管理辦法」第6條第3款第5目規定,確實指派專人負責監控系統狀態,且未建立非正常程序提領鈔券(如直接驅動鈔匣吐鈔)、現鈔與帳務盤點不符或其他緊急狀況等異常行為之即時監控機制與自動化提醒警示作業,以致於ATM監控系統已記錄到「鈔券已用罄」及「結存尚有多張鈔券」同時並存之不合理情形時,貴行未能立即因應處理。
  3. 未將ATM管理伺服器以獨立網段區隔,且未對倫敦分行之電話錄音系統先採行妥適之資安防護措施,即將其加入內部網路,導致駭客得以上開電話錄音系統為入侵平台滲入貴行ATM設備。違反「金融機構辦理電子銀行業務安全控管作業基準」第11條第2款規定。
  4. 查核發現有使用者帳號於非營業時間登入ATM監控系統伺服器之情形,惟未能透過日常檢核作業即時發現異常登入;另駭客係滲入貴行內部網路偽冒派送ATM軟體更新作業,將惡意程式植入ATM設備,惟查貴行未指派專人透過應用系統或作業系統,檢視是否有未經核准之派版作業執行紀錄,相關軟體派送之監控作業尚待強化。
創作者介紹

眾律國際法律/專利商標事務所

Zoomlaw 發表在 痞客邦 PIXNET 留言(0) 人氣()