自5月底開始,上市公司一旦發生資安事件,不論是否涉及核心資訊系統、機密文件,都需要發布重大訊息。臺灣證券交易所在5月28日宣布此事,說明已修訂重大訊息問答集規範,要求上市公司充分揭露重大資安事件
而從5月24日上架的新版重大訊息問答集來看,證交所已將第26款所列的核心、機密等字刪除。此舉,顯然是要將「重大性標準」放得更寬。
換言之,現在上市一旦遭遇資安事件時,對於判斷是否需要發布重大訊息,不只需要依循第26款原有的前兩種條件(依據發布重大訊息遵循程序及判斷標準評估並要留存相關軌跡紀錄、媒體報導公司發生資通安全事件),現在第三種條件除了已經明確定義規範內容,更將其標準進一步的放寬。
我們認為,放寬標準後,好處是讓企業在發生資安事件時,對於是否發布重訊能有更容易判斷的依據。從現在開始,不論企業是否清楚區別核心、機密,都要發布重大訊息。
而從資訊公開角度來看,此舉將讓投資人更清楚知道企業遭遇的資安問題,但是,日後資安事件重大訊息的數量與頻率,也很有可能會有大幅增加的情況。
至於放寬標準後,未來是否可能造成另外的困擾,對於企業而言,像是企業自身判斷屬於較輕的1級、2級資安事件,也需依重大訊息規定揭露為重大資安事件,因此後續情形有待觀察。對於主管機關而言,大小事件都揭露好處是可能發現一些蛛絲馬跡,但是否可能造成整體資安警報疲勞的問題,也還需要觀察。
另外,對於這次重大性標準內容修訂的變化,我們也詢問證交所,試圖了解是否有一些上市公司受駭卻沒有對外公布的情形,使得他們有此改變,他們僅表示,這次修訂主要是資安事件與日俱增,希望讓規範變得更清楚。
由於過去我們曾經看過不少例子,例如,在一些情資平臺上發現有勒索軟體組織宣稱國內上市公司成為其受害者,並宣稱竊取了多少資料,只是,這些公司並沒有回應我們的詢問,也沒有發布重大訊息,使我們無法了解是否真的有此一事,是否不屬於重大資安事件。如今,在這次修訂之下,無論資安事件大小都將公諸於外界。
