資安問題其實是人的問題
美國在2021年5月發布了〈改善全國資安〉(Improving the Nation's Cybersecurity)的行政命令,要求政府在2024年前改用零信任架構。拜登總統在發布命令時表示,「漸進式的改變無法保障我們需要的安全。聯邦政府需要投下重資,大刀闊斧進行改革,守護美國生活方式不可或缺的那些重要設施。」這段話顯然表示,美國在屢次受到攻擊,甚至連最重要的國安系統都被入侵之後,產生了很強的危機感。未與其他大陸接壤的特性,讓這個國家幾百年來高枕無憂,但在網路中,沒有人具備地緣政治優勢。
說回銀行業,雖然它的資安要求跟美國或台灣軍方不太一樣,但面對的威脅卻很類似。這個時代是一個充滿開放銀行、嵌入式服務的時代,資安漏洞勢必是常態。銀行業如果要保護自己的系統,就得選用恰當的安全機制,守護過頭和守護不夠一樣糟糕。
無論是資安還是網路攻擊,最終其實都是人類行為。IT專家必須找出一些方法,知道哪些地方值得特別認真監視。目前的資安軟體監控目標,已經從靜態硬碟轉向更細緻的系統行為,但即便如此,還是得減少不必要的連結與活動,降低現代IT系統固有的複雜性,這樣才能及時找出可疑之處檢查並補救。悲劇一旦發生,我們就只能研究攻擊是怎麼成功的;但我們真正需要的是在漏洞剛出現時立刻發現,在攻擊發生前已經預防。
*作者為台灣金融研訓院特聘外籍研究員;譯者為劉維人。本文選自156期台灣銀行家雜誌,授權轉載。
