勒索病毒、金融詐騙事件層出不窮,使得各界對資安的重視與日俱增,而金融服務更關係著民眾的身家財產安全,因此銀行資安業非常重要。擁有超過 800 萬客戶的國泰世華,提升資訊韌性及風險控管機制,透過資安專責單位的「三道防線」,更加強化資安防護網。
台灣政府近年來開始重視企業資安,其中又對金融業的安要求相對更高,而金管會 2021 年為推動「金融資安行動方案」,要求銀行、保險、證券期貨等符合條件的金融機構都必須設置資安專責單位,並要指派「副總經理以上或職責相當之人」擔任資安長。
為此,國泰世華設置資安專責單位與資安長一職,國泰世華銀行資訊安全部協理王堯德表示,國泰世華在主管機關要求之前,已建置資安專責單位,並有緊急應變的技術團隊,調配資源來處理緊急事件。
「三道防線」講究專責分權
王堯德表示,「三道防線」的做法是目前金融業常見的內控做法,第一線就是真正的執行單位,著重資訊領域的系統連接安全性,而第二線就是資安人員,主要是制定資訊安全的策略與藍圖,並檢視整個資安執行的狀況,至於第三線就是稽核人員。
王堯德指出,早期資安被歸類在資訊單位裡面,因為既要執行又要監督,難免會有球員兼裁判的疑慮,所以後來就被要求分開,等於多一個監督單位來管控,但是初期內部人員還是會搞混資訊和資安的角色定位,像是需要第一線的執行卻跑來找第二線的資安,這時候就會透過教育訓練灌輸正確概念。
談到資安,王堯德分享,一般把資安分成 CIA 三大類,其中 C 就是保密性(Confidentiality),確保資料受到真正的保護,而不致遭到竊取,再來 I 就是完整性(Integrity),確保資料不會被篡改與破壞,像是把一筆交易從 100 元改成 100 萬元,或是匯款給 A 改成匯給 B,而最後 A 就是可用性(Availability),確保系統能持續運作,也就是當系統不幸損毀時,不致發生無法正常運作的情況。
兩大面向杜絕金融釣魚簡訊
這兩年金融釣魚簡訊層出不窮,其中又以投資詐騙最為氾濫,王堯德表示,國泰世華從「事前預防」和「事後應變」兩大面向因應,首先事前預防包括情資搜集、科技技術應用、提升客戶資安意識等,舉例來說,資安團隊日常就會上網尋找偽冒網站、App 或相似域名網站,進行偵察監控,確定有問題就會尋求下架。
王堯德指出,事前預防包含情資搜集,並善用一些科技技術進行身分驗證,例如導入 sim 卡或人臉辨識來強化驗證,像是銀行常常需要寄送帳單、宣導等大量郵件給客戶,為了防止詐騙偽冒電子郵件地址,國泰世華導入數位簽章,讓客戶辨識真偽,並統一短網址連結。
國泰世華著重資訊宣導,藉此提升客戶防詐意識,王堯德指出,銀行透過粉絲團或網站進行金融詐騙宣導,並與台北市政府警察局合作,交流金融防詐的實務經驗,更與警政調查機構合作,一旦金融詐騙事件發生,國泰世華將可透過郵件、App 管道通知客戶。
事後應變方面,王堯德指出,國泰世華的執行方向多元,包括與警政及主管機關通報聯防、封鎖可疑網站與簡訊發送、事件處理與鑑識作業等,並成立一個跨部門的緊急應變小組,像是公關單位,一旦發生資安事件就會依相關作業流程執行,例如提供媒體記者正確資訊,或是製作通知客戶警示用語等等,並有稽核、法遵相關單位配合,還會定期進行模擬演練。
▲ 開放辦公室。(Source:國泰世華)
面臨金融詐騙把握黃金時間
王堯德分享,國泰世華與警政主管機關,共同建立溝通聯防機制,像是日常維運只要發現疑似偽冒網站,團隊就會聯繫 165 反詐騙中心和 TWCERT,尋求協助訪堵下架事宜,即使是海外偽冒網站,國泰世華也會比照處理。
現在偽冒網站出現頻率很高,王堯德說明,偽冒網站常冒用國泰的 LOGO,配置國泰世華的網銀登錄欄位,以假亂真,甚至有些看起來仍在建置中,但是團隊就是採以防堵於未然的作法,進行通報,一旦確認並非內部架設的活動網站之後,立即就會尋求下架。
當發生金融詐騙事件,國泰世華從兩大管道著手,王堯德說明,一方面下架偽冒網站,另一方面聯繫電信業者解決簡訊發送問題,而且背後有一個團隊負責處理,當客戶已經不小心把錢匯給詐騙集團,團隊提供必要的協助,以防止損失擴大。
王堯德舉例說明,當客戶已經把錢匯到詐騙帳戶,而詐騙集團未把錢取走前,協助聯繫對方銀行凍結帳戶,因此需要各個單位聯防、警檢發送函文,並非一通電話就能成功,往往就是跟詐騙集團搶速度,把握黃金時間。
資安專責單位需才孔亟
因應金融業對資安專責單位的嚴謹,王堯德坦言,資安相關人才確實越來越難招募,因為資本額 100 億元以上的上市櫃公司 2021 年開始也被要求設置資安長與專責單位,等於一家公司就至少要有 4 個人,所以目前資安人才面臨僧多粥少的情況。
為此,王堯德表示,國泰世華分別從留才和搶才著手,首先留才重視培育現有的員工有更好的技能,因為人才流失需要耗費更多的成本資源,主要透過人資設計的評量,為同仁找到適合的個人發展計畫,並針對專業培訓給予充足的預算,為資安專才提供相關訓練。
搶才方面,王堯德指出,國泰世華從金控延伸到子公司,提供年輕人喜歡的工作模式,引進開放辦公室、談話休憩區,讓同仁辦公更有彈性,並發起員工推薦的獎勵制度,最特別的就是今年首次前往資安大會擺攤徵才,因為現場參與者不就是資安專業人才,因此期望藉此招募到相關人才。
全台資安人才緊缺,王堯德分享,主管機關 2021 年推出金融資安人才職能地圖,列出金融資安需要哪些領域的人才,還有工作範圍、具備職能等,期望讓現有的金融資安人員有個努力的方向,或是讓那些對金融資安領域有興趣的人員努力,像是大學畢業生就可以補充自身的技能。
整體來說,王堯德強調,金融業對資安領域的要求勝過所有行業,因此國泰世華內部努力前進,每年都希望能追上新興科技和創新腳步,並參考國際的資安制度,像是這兩年很熱門的「零信任架構」,內部就早已經有所關注,期望透過密切追蹤世界趨勢與方向,打造更好的金融資安防護網。
▲國泰青埔資訊中心。(Source:國泰世華)
(首圖來源:國泰世華)
科技新報粉絲團
加入好友
訂閱免費電子報
