事后调查一再重演…“控制塔缺位问题严重”
主张引入模拟黑客、强制现场检查并实施惩罚性制裁
隶属国会政务委员会的Kang Junhyeon议员(共同民主党,世宗乙)在20日举行的金融委员会·韩国产业银行·IBK企业银行国政监察上向金融委员会委员长 Lee Eogwon指出:“金融保安院在金融圈安全事故方面事实上仅停留在建议层面的角色,无法进行初期应对”,并敦促“应赋予其为预防安全事故和防止损害扩散所需的实质性权限”。
Kang议员表示:“目前金融保安院是以2014年三大信用卡公司信息泄露事件为契机设立的机构,负责24小时监控、分析、技术支援和教育等工作,但由于缺乏法律上的监管权或强制权,无法发挥实质性的控制塔作用”,“金融监督院只能进行事后制裁,金融保安院只能提出建议,机构结构存在问题”,并对此表示忧虑。
他同时指出,最近5年内8家专业信用卡公司共发生159起电子金融事故,但在信息技术自我审计中获得“适当”判定的仅占20%,尤其是Lotte Card在过去5年间仅进行过一次自有安全审计,即便如此,金融保安院却连责令其整改的权力都没有。
此外,SGI首尔保证在金融保安院评估中已连续4年获得最高等级(S),但在去年7月却因勒索软件攻击导致信息系统瘫痪长达81小时;Lotte Card也是在取得ISMS-P认证仅两天后,就发生了大规模个人信息泄露事件,他对此予以批评。
这被判断为金融保安院的评估和认证仅停留在以文件为中心的形式化程序。
Kang议员提出了多项制度改善方案,包括:▲强化金融保安院权限并赋予其实质性处置权 ▲在信息保护常态评估中新增模拟黑客攻击项目 ▲摆脱以文件为中心的评估并将现场检查义务化 ▲在发生重大事故时引入惩罚性罚款制度等。
他还主张,对于不隐瞒损失、进行早期自愿申报并努力进行损害救济的企业,应在制裁时体现减轻情节。
他强调,为了消除每当发生安全事故时就被指为“轻描淡写处罚”的国民不信任,有必要摒弃以事后应对为中心的松散体系,通过具有实效性的检查和强化金融保安院权限,建立值得信赖的金融安全保障体系。
金融委员会委员长 Lee Eogwon答复称:“看上去需要形成系统性的运作”,“监视、预防、事后查处和制裁必须一贯且有效地实施”,并说明“我认为金融监督院与金融保安院有必要联合并紧密应对,这一必要性正日益增强”。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
