【2024年 1 月 31日,台北】OneDegree Global發布2024臺灣保險業資安曝險調查報告,比較2021年底對30家壽產險業者的外在資安曝險情形評級與分析,並追蹤報導同30家業者,以評估其在兩年內是否改善並提升資安態勢。主要目標是協助業者了解產業普遍攻擊風險,迅速減少攻擊面並提升駭客攻擊難度。其中8成業者使用之SaaS平台發生帳號密碼外洩,凸顯影子IT問題,易被駭客拿來做為社交工程攻擊的工具。
!此為分頁標誌前台不顯示!
此外,OneDegree Global亦針對產業法遵技術面進行保險業者合規評級:
1. ISO27001:產業合規平均分數89.7分,主要因證撤銷機制未設定完整、不安全加密套件及憑證過期而被扣分。
2. PCI DSS:產業合規平均分數90.0分,主要有兩大項扣分項目:
- 網站應用上的 CSP(內容安全性原則)未配置或配置錯誤、X-Frame-Options未設置或安全等級不足及缺少CSRF Token及Cookie的三項基本設定未設置或配置錯誤。
- 因憑證撤銷機制未設定完整、不安全加密套件及憑證過期。
3. GDPR:產業合規平均分數85.9分,主要因證撤銷機制未設定完整、不安全加密套件及憑證過期而被扣分。
4. NIST CSF:這兩年新增一項法規技術面評級,即美國國家標準與技術研究所提出的「NIST Cybersecurity Framework」,透過系統性和完整的標準框架,協助企業全面檢視其資訊安全防禦的薄弱點。產業平均分數90.0分,主要原因為網站及電子郵件安全設定之曝險無法符合下列科技面之要求。