7月13日,國內爆發首宗銀行業遭到國際駭客攻擊並得逞的大型犯罪案:第一銀行41台ATM,疑似遭到歹徒植入木馬程式而中毒,變成「自動吐鈔機」,短短2天,被海外犯罪集團輕鬆提領超過8千萬元。當台灣金融科技(Fintech)領域已落後他國,現在又出現此案,若我們只追究犯案者的手法,其實無濟於事,而是該深思考,到底台灣金融業者面對資訊安全,是用怎樣的層次與角度看待。這次一銀事件,為什麼一時間這麼多錢被提光?問題出在哪?《商業周刊》專訪某位為十幾家銀行業者擔任資安顧問、四大會計師事務所之一的副總經理,透過其第一手告白,看見台灣最真實的金融資安問題。
搶市占率,求快 可以快點上線就好,連風險控管都不問。
你去問每家銀行「你們的ATM主要是歸誰管?」「App又是歸誰管?」通常都是跨部門管的。
資安絕不是只有技術面,而是結構面問題,需要跨部門分工和協調。比方說,有些銀行在新興科技上的能力不是這麼強,因銀行資訊人員,穩定性比較高,所學的都是成熟技術。若銀行要發展Fintech只有2種做法:一種是趕快去招募新人,有新的能力,其中包含這些新東西;另一種快速方法就是委外,但一委外,就扯到安全問題。通常委外時會問:什麼情況下可以又快、又能管控到風險?大部分銀行連這個都不問,只求快,至於安不安全、程式怎麼寫,其實他們未必有能力去檢視。
委外招商,求便宜 價格最低的人就得標,安全檢測都沒要求。
我要強調,委外不是錯,重點是你給誰做?這有幾個問題,第一個就是招標形式,你用什麼形式招標?有沒有安全的規格和要求?你去看現在銀行的核心系統檢測,招標時都用價格標,安全檢測都沒有要求,寫App的話,就是功能正確,趕快交差,讓我上線就好了。招標時,最清楚哪個品質好的就是資訊單位,可是這種需要跨部門的協調。其他單位的人會說,這和買ATM、電腦那些硬體不就一樣嗎?來個價格標不就好了嗎?這種節省成本的心態,與資訊安全單位不被重視有關。
資安人員,小小小媳婦 他們迫於壓力開通系統,有心人士就進來了。
在很多銀行裡面,資訊人員算是小媳婦。他們面臨那個業務單位的壓力是,「你這個不開通,那個也不通,我們的某某業務、外匯業務,和分行的連線都不能做,你就全部把我開通啦。」資訊人員迫於這種壓力,就把對外宣稱是「封閉式系統」的東西開通,有心人士就可以進來了。我們和一些銀行的資安承辦人員見面,他們真的很委屈。問題是,他之前的提醒,有沒有被業務單位採納?當初大家如果是同等地位的對話,會這樣嗎?經過一銀這件事情後,開始有銀行在意:像資安的權責該由誰負責?一銀這件事對台灣發展Fintech而言,是一個反省的好機會。之前講Fintech都在談技術、業務,甚至是速度,這段時間大家更能想想風險的問題。這件事對台灣是轉機還是危機?這回到另一個問題:決策者的心態是什麼?如果是保守、消極,那對於推動Fintech就是危機。未來積極發展新興科技,對於資訊安全的管理也都正面迎戰,如果說到也有做到,當然就是轉機。 (相關報導: 資安隱憂!台灣人易點選惡意程式 名列全球第3 | 更多文章 )
本文經授權轉載自商業周刊
