商业周刊/一银盗领案 圈内人告白资安漏洞
文/张舒婷
7月13日,国内爆发首宗银行业遭到国际骇客攻击并得逞的大型犯罪案:第一银行41台ATM,疑似遭到歹徒植入木马程式而中毒,变成「自动吐钞机」,短短2天,被海外犯罪集团轻松提领超过8千万元。
当台湾金融科技(Fintech)领域已落后他国,现在又出现此案,若我们只追究犯案者的手法,其实无济于事,而是该深思考,到底台湾金融业者面对资讯安全,是用怎样的层次与角度看待。
这次一银事件,为什么第一时间这么多钱被提光?问题出在哪?
《商业周刊》专访某位为十几家银行业者担任资安顾问、四大会计师事务所之一的副总经理,透过其第一手告白,看见台湾最真实的金融资安问题。
你去问每家银行「你们的ATM主要是归谁管?」「App又是归谁管?」通常都是跨部门管的。
资安绝不是只有技术面,而是结构面问题,需要跨部门分工和协调。
比方说,有些银行在新兴科技上的能力不是这么强,因银行资讯人员,稳定性比较高,所学的都是成熟技术。若银行要发展Fintech只有2种做法:一种是赶快去招募新人,有新的能力,其中包含这些新东西;另一种快速方法就是委外,但一委外,就扯到安全问题。
通常委外时会问:什么情况下可以又快、又能管控到风险?大部分银行连这个都不问,只求快,至于安不安全、程式怎么写,其实他们未必有能力去检视。
我要强调,委外不是错,重点是你给谁做?这有几个问题,第一个就是招标形式,你用什么形式招标?有没有安全的规格和要求?
你去看现在银行的核心系统检测,招标时都用价格标,安全检测都没有要求,写App的话,就是功能正确,赶快交差,让我上线就好了。
招标时,最清楚哪个品质好的就是资讯单位,可是这种需要跨部门的协调。其他单位的人会说,这和买ATM、电脑那些硬体不就一样吗?来个价格标不就好了吗?这种节省成本的心态,与资讯安全单位不被重视有关。
资安人员,小小小媳妇他们迫于压力开通系统,有心人士就进来了。
在很多银行里面,资讯人员算是小媳妇。他们面临那个业务单位的压力是,「你这个不开通,那个也不通,我们的某某业务、外汇业务,和分行的连线都不能做,你就全部把我开通啦。」资讯人员迫于这种压力,就把对外宣称是「封闭式系统」的东西开通,有心人士就可以进来了。
我们和一些银行的资安承办人员见面,他们真的很委屈。问题是,他之前的提醒,有没有被业务单位采纳?当初大家如果是同等地位的对话,会这样吗?
经过一银这件事情后,开始有银行在意:像资安的权责该由谁负责?
一银这件事对台湾发展Fintech而言,是一个反省的好机会。之前讲Fintech都在谈技术、业务,甚至是速度,这段时间大家更能想想风险的问题。
这件事对台湾是转机还是危机?这回到另一个问题:决策者的心态是什么?如果是保守、消极,那对于推动Fintech就是危机。
未来积极发展新兴科技,对于资讯安全的管理也都正面迎战,如果说到也有做到,当然就是转机。【 更多报导 】
反应快又能干...曹操竟为「鸡肋」杀杨修?职场最忌不长眼:千万别帮老板下决定!
从22岁开始工作...一直到60岁退休,人一辈子要花多少钱?实际算给你看