一銀盜領案,行內人告白資安漏洞

作者 | 發布日期 2016 年 07 月 23 日 0:00 | 分類 網路 , 財經 , 資訊安全 line share follow us in feedly line share
一銀盜領案,行內人告白資安漏洞


7 月 13 日,國內爆發首宗銀行業遭到國際駭客攻擊並得逞的大型犯罪案:第一銀行 41 台 ATM,疑似遭到歹徒植入木馬程式而中毒,變成「自動吐鈔機」,短短 2 天,被海外犯罪集團輕鬆提領超過 8 千萬元。

當台灣金融科技(Fintech)領域已落後他國,現在又出現此案,若我們只追究犯案者的手法,其實無濟於事,而是該深思考,到底台灣金融業者面對資訊安全,是用怎樣的層次與角度看待。

這次一銀事件,為什麼一時間這麼多錢被提光?問題出在哪?

《商業周刊》專訪某位為十幾家銀行業者擔任資安顧問、四大會計師事務所之一的副總經理,透過其第一手告白,看見台灣最真實的金融資安問題。

 

搶市佔率,求快
可以快點上線就好,連風險控管都不問

你去問每家銀行「你們的 ATM 主要是歸誰管?」「App 又是歸誰管?」通常都是跨部門管的。

資安絕不是只有技術面,而是結構面問題,需要跨部門分工和協調。

比方說,有些銀行在新興科技上的能力不是這麼強,因銀行資訊人員穩定性比較高,所學的都是成熟技術。若銀行要發展 Fintech 只有兩種做法:一種是趕快去招募新人,有新的能力,其中包含這些新東西;另一種快速方法就是委外,但一委外,就扯到安全問題。

通常委外時會問:什麼情況下可以又快、又能管控到風險?大部分銀行連這個都不問,只求快,至於安不安全、程式怎麼寫,其實他們未必有能力去檢視。

 

委外招商,求便宜
價格最低的人就得標,安全檢測都沒要求

我要強調,委外不是錯,重點是你給誰做?這有幾個問題,第一個就是招標形式,你用什麼形式招標?有沒有安全的規格和要求?

你去看現在銀行的核心系統檢測,招標時都用價格標,安全檢測都沒有要求,寫 App 的話,就是功能正確,趕快交差,讓我上線就好了。

招標時,最清楚哪個品質好的就是資訊單位,可是這種需要跨部門的協調。其他單位的人會說,這和買 ATM、電腦那些硬體不就一樣嗎?來個價格標不就好了嗎?這種節省成本的心態,與資訊安全單位不被重視有關。

 

資安人員,小小小媳婦
他們迫於壓力開通系統,有心人士就進來了

在很多銀行裡面,資訊人員算是小媳婦。他們面臨那個業務單位的壓力是,「你這個不開通,那個也不通,我們的某某業務、外匯業務和分行的連線都不能做,你就全部把我開通啦。」資訊人員迫於這種壓力,就把對外宣稱是「封閉式系統」的東西開通,有心人士就可以進來了。

我們和一些銀行的資安承辦人員見面,他們真的很委屈。問題是,他之前的提醒,有沒有被業務單位採納?當初大家如果是同等地位的對話,會這樣嗎?

經過一銀這件事情後,開始有銀行在意:像資安的權責該由誰負責?

一銀這件事對台灣發展 Fintech 而言,是一個反省的好機會。之前講 Fintech 都在談技術、業務,甚至是速度,這段時間大家更能想想風險的問題。

這件事對台灣是轉機還是危機?這回到另一個問題:決策者的心態是什麼?如果是保守、消極,那對於推動 Fintech 就是危機。

未來積極發展新興科技,對於資訊安全的管理也都正面迎戰,如果說到也有做到,當然就是轉機。

(作者:張舒婷;首圖來源:shutterstock;全文未完,完整內容請見《商業周刊》