Sunday, January 27, 2008

法興魔童的啟示

所謂江山代有人才出。95年「魔童」利森一手將百年老店霸菱送進深淵,想不到十多年之後,法興又出了一名新魔童克維爾,魔力更加厲害,令法興損失高違49億歐元,更令全球各大金融市場不知所云地經歷了一場股災。

直至目前為止,事件的來龍去脈仍然所知不詳,亦可能永遠是個謎。但事件亦反映一些國際級金融機構的資訊保觀念是何等薄弱。從目前所知資料看來,法興的資訊保安管理系統很可能存在以下漏洞:

(1) 克維爾從前曾經在法興做過程式編寫的工作,反映有可能在工作崗位改變後,其資訊系統的登入權限沒有相應更改,因此他可以輕易地修改管理權限,令自己可逃過電腦交易系統的限制。現時不少公司其實也存在相同問題,只知道在同事申請登入權時設限,但在其離職或轉職時卻沒有任何監控;

(2) 一個有效管理的資訊系統,應會在關鍵程序上有「職能分工」,程式員既然可修改程式碼,便不應被容許將已編譯的執行碼移入執行系統內。是次事件是否存在「一人分演兩角」的問題?

No comments: