最近一則引發社會熱議的新聞,成了資訊安全管理領域非常經典的案例:一名新北市警員發現差勤系統的漏洞,利用瀏覽器的「F12 開發者工具」修改前端程式碼,刪除干擾按鈕的 disabled(禁用)屬性,竟然成功繞過限制,刪除了自己的請假紀錄,讓主管因資訊不對稱而誤認核准,最終多休了 12 天假並涉嫌詐領薪資。
這起案例在網路上被調侃為「低成本駭客技術」,但從專業的 ISO/IEC 27001:2022 資訊安全管理體系(ISMS)來看,它暴露了一個企業在維運內部資訊系統時,最常犯的戰略性錯誤——在進行資訊資產風險評估(Risk Assessment)時,完全忽略了「內部舞弊(Internal Fraud)」的風險。
為什麼明知有漏洞,控制措施卻「沒有啟動」?
許多企業主或 IT 主管在看這個案例時,第一反應通常是:「這系統怎麼寫得這麼爛?後端怎麼沒有驗證?」
但如果我們把時間倒回到系統開發與規劃的階段,真正的根源往往出在風險評估的思維盲點。
當企業在對內部行政、HR、差勤或 ERP 系統進行資訊風險評估時,評估小組的腦海裡想的通常是:
- 「這只是內部系統,外面的人又連不進來,不用防駭客啦!」
- 「我們公司的同仁都很單純,大家互相信任,不會有人想去搞系統。」
因為在第一步的風險識別中,企業主觀地認為「內部同仁利用系統漏洞進行舞弊」的機率為零或極低。既然風險評估報告上的風險值(Risk Score)被評為「可接受的低風險」,企業自然不會想配置資源去啟動(Implement)相對應的 ISO 27001 控制措施。
這就是典型的「因為看不見風險,所以放任漏洞存在」。
漏掉內部舞弊風險,導致哪些 ISO 27001 控制措施被關閉?
一旦企業在風險評估時對內部威脅「選擇性失明」,以下這些本該保護企業的核心 ISO 27001 控制措施,就會在系統設計中被直接忽略:
1. 為了省成本,略過了「A.8.27 安全編碼原則」
如果風險評估認為「內部同仁不會搞鬼」,開發團隊在時程與預算壓力下,就會採取最省事的做法:只在前端畫面上把『刪除』按鈕隱藏或設為不可點擊(disabled),而略過了後端 API 必須重新校驗權限與假單狀態的「雙重驗證」架構。這種零防禦的半套資安,正是缺乏安全開發規範的後果。
2. 為了圖方便,放任了「A.8.3 存取權限」的模糊
當我們不把內部舞弊當成威脅時,系統的權限控管(RBAC)往往會流於形式。基層人員的帳號權限在後端沒有被嚴格限縮,導致他們只要繞過前端介面,就能直接呼叫後端具備特權指令的 API。
3. 覺得沒必要,放棄了「A.8.12 日誌記錄」的審計
許多內部系統的日誌只記錄「系統錯誤」,不記錄「使用者行為」。因為在評估時,企業不覺得需要耗費伺服器空間去存取每一個同仁的「新增、修改、刪除」軌跡。本案最終能被查獲,是因為事後差勤勾稽發現異常;但若企業缺乏完善的審計日誌(Audit Logs),內部舞弊往往會變成經年累月、無法舉證的巨大財務與黑洞。
重新檢視您的風險評估:資安防護,從「直面人性」開始
不論是政府機關的差勤系統,還是企業賴以維生的客戶資料庫、營業秘密管理系統,「防內鬼」的優先級,有時甚至高於「防外駭」。
導入 ISO 27001 的核心價值,絕不只是為了一張證書,而是引進一套科學且客觀的風險評估框架。它迫使企業跳脫「大家都信得過」的主觀盲點,用更全面的視角去審視:如果這個核心資產被內部人員惡意利用或竄改,組織會承受多大的營運、法律與商譽風險?
唯有在風險評估階段承認「內部舞弊」的存在,企業才會真正願意啟動職責分離、後端驗證與審計日誌等控制措施,為企業打造真正具備防禦力的金鐘罩。
新聚能科技:陪您找出資安風險評估的 Blind Spots
您公司的內部系統(ERP、簽核、差勤)在當初開發或導入時,是否也曾落入「自己人不用防」的盲點中?
新聚能科技擁有豐富的系統分析與資訊安全輔導經驗。我們不只幫您「對齊標準」,更站在企業營運與風險管理的實務視角,協助您:
- 重新檢視並診斷企業現行資訊資產的風險評估模型
- 找出因忽略內部威脅而未啟動的資安管理 blind spots
- 打造符合 ISO 27001:2022 最新標準、兼顧人性管理與系統架構的安全防禦機制
別讓「信任」成為系統設計的破口。
👉 點此了解: 新聚能科技 ISO 27001 資訊安全管理系統 (ISMS) 顧問輔導服務,讓我們協助您的企業落實真正有效的風險評估與資安防護!
參考資料:
- 獨/新北警假不夠用竟「自己變出來」F12一按爽休12天栽了 ( ETtoday新聞雲 )