再探披著新羊皮的狼

信用卡示意图。图/ingimage

接续3月21日前文「披着新羊皮的狼」提醒几个重大「资讯安全」危机?近更听说特定国内银行业者在认和资讯人员陪同下,分别在去年十月与今年二月间曾专程拜访「光大银行」、「广发银行」、「厦门银行」、以及「中国银行」等单位,观摹所谓先进的「信用卡核心系统」,并称可能有七、八成机会考虑采用(更有说法刻在采购过程中)?当然也有银行业者基于高强度资安顾虑断然拒绝。

首先从「市场面」分析,根Nilson Report 预测,未来十年间,全球信用支付卡产业估算因诈欺、网路漏洞而造成的损失金额累积近四千亿美元左右,因此银行业者花费数百万美元成本提升引进先进的「信用卡核心系统」(简称PCI DSS)或有需要?

再以「资讯防护面」分析,仅略为深入探讨「信用卡核心系统」 PCI DSS 处理的持卡人交易资料内容,表面上系包括「主要帐户号码」:即卡片上的帐户号码,通常为 16 位数字;「全名」:持卡人姓名;「到期日」:以及卡片到期时的月份和年份;「服务代码」:自动从信用卡晶片中取回的数值,以便进行交易。

而PCI DSS 涵盖的敏感认证资料则涵盖「全轨资料」:信用卡芯片上同等资料;「卡片验证码」:芯片卡片上的三位数或四位数安全码,网上购物时必须使用;「到期日」:卡片到期时间;以及「个人识别号码 (PIN)」:允许 ATM 提款和其他交易的唯一号码(通常是四位数)等;

另国际标准PCI DSS 基本框架至少应具备十二项基本「防狼要求」(具有 300 多项子要求),如安装和维护防火墙;不要在连线网路装置上使用厂商预设密码;透过加密保护储存持卡人资料;在开放公共网路上加密持卡人资料;防范恶意软体;以及维护安全系统和应用程式等;同时要求在「需要知道」基础上限制持卡人资料存取;识别并认证系统元件存取权限;控制和限制对持卡人资料实体存取;监控对持卡人资料片存取;定期测试安全系统;以及维护资讯安全政策。

听说国内银行业者要求「狼性」软体厂商交付「原始码软体」来自我保证「资讯安全」?然其是否能代表高强度「资讯安全」作为,答案是绝对否定的。因为木马化的「开放原始码」极难被发掘,它们看起来就跟正常软体一样毫不起眼,特别适用于「目标式攻击」与「潜伏式功击」。

暂且不探讨「庞大资料库维运」、「大数据运算」、以「AI建模」等议题;前述重要资讯主、侧翼防护强度至少应该与「数位国民卡」并驾齐驱?试问国内法规能否适时管辖、监督?国内主管机关(数位部、金管会、甚至国安单位等)能不担心吗?日日使用「信用支付卡」的民众能不受怕吗?值得三思!

再倒档「披着羊皮的狼」歌词内容:「我小心翼翼的接近怕你在梦中惊醒,…….,我决定我就是那一只披着羊皮的狼;..….,我确定你就是那我心中如花的羔羊!」等语,不由得心跳加速,可能是「杞人忧天」吗?