日後,如果上市企業或金融公司遭到駭客攻擊,就必須對外公佈相關消息。對外公示制度範圍將從收購合併等主要經營現案拓展至因駭客遭到的損失等內容。
知識經濟部於1日表示,從2014年開始,企業要在金融監督院企業公示網站(dart.fss.or.kr)或韓國交易所(krx.co.kr)網站公佈遭到駭客攻擊的事實以及應對攻擊的能力等資訊。另外,每年要公佈一次包含“聘用的保安人力”、“保安預算規模”等內容的報告書。若該方案實施,消費者可以選擇停止與保安措施較弱的銀行繼續交易,也可以登出保安措施較弱的網站的會員。
去年12月,資訊保護相關部門曾經提出駭客攻擊公示制度“資訊安全事業刺激方案”,但是因為企業表示“沒有能力在安保領域投資”,最終擱置了本案。
但是,隨著近期多次發生駭客攻擊事件,知識經濟部認為有必要引進保安制度,所以指示韓國網路振興院(KISA)擬定了資訊保安公示制度草案。據此,KISA近期制定了“資訊保安公示制度檢討研究方案”。
此前,CT集團與索尼等公司也發生過遭駭客攻擊的事故。事後,美國聯邦證券交易所(SEC)便於今年6月引進了類似的保安制度。一所大學的資訊保護學科教授指出:“韓國計畫從2014年開始實施該政策,這要比美國晚3年。韓國近期已經經歷多次大型駭客攻擊事故,因此有必要儘快引進駭客攻擊公示制度。”
對此,知識經濟部電子產業科長嚴贊旺表示:“若實現駭客攻擊相關資訊的義務化公開制度,企業會更系統的準備資訊保護應對方案。我們將與金融委員會、廣播通訊委員會等相關部門攜手,儘快實施相關制度。”
KISA於2009年12月公佈的調查結果顯示,韓國6000多家5人以上企業中,遭到網路攻擊後向警方報警的只占16.0%。至於為何沒有報警,一半以上的當事人表示:“我們認為,內部解決不向外張揚更有益。”
鄭鎮旭 coolj@donga.com
About Dong-A Ilbo