再探披著新羊皮的狼

信用卡示意图。图/ingimage

接续3月21日前文「披着新羊皮的狼」提醒几个重大「资讯安全」危机？近更听说特定国内银行业者在认和资讯人员陪同下，分别在去年十月与今年二月间曾专程拜访「光大银行」、「广发银行」、「厦门银行」、以及「中国银行」等单位，观摹所谓先进的「信用卡核心系统」，并称可能有七、八成机会考虑采用（更有说法刻在采购过程中）？当然也有银行业者基于高强度资安顾虑断然拒绝。

首先从「市场面」分析，根Nilson Report 预测，未来十年间，全球信用支付卡产业估算因诈欺、网路漏洞而造成的损失金额累积近四千亿美元左右，因此银行业者花费数百万美元成本提升引进先进的「信用卡核心系统」（简称PCI DSS）或有需要？

再以「资讯防护面」分析，仅略为深入探讨「信用卡核心系统」 PCI DSS 处理的持卡人交易资料内容，表面上系包括「主要帐户号码」：即卡片上的帐户号码，通常为 16 位数字；「全名」：持卡人姓名；「到期日」：以及卡片到期时的月份和年份；「服务代码」：自动从信用卡晶片中取回的数值，以便进行交易。

而PCI DSS 涵盖的敏感认证资料则涵盖「全轨资料」：信用卡芯片上同等资料；「卡片验证码」：芯片卡片上的三位数或四位数安全码，网上购物时必须使用；「到期日」：卡片到期时间；以及「个人识别号码 (PIN)」：允许 ATM 提款和其他交易的唯一号码（通常是四位数）等；

另国际标准PCI DSS 基本框架至少应具备十二项基本「防狼要求」（具有 300 多项子要求），如安装和维护防火墙；不要在连线网路装置上使用厂商预设密码；透过加密保护储存持卡人资料；在开放公共网路上加密持卡人资料；防范恶意软体；以及维护安全系统和应用程式等；同时要求在「需要知道」基础上限制持卡人资料存取；识别并认证系统元件存取权限；控制和限制对持卡人资料实体存取；监控对持卡人资料片存取；定期测试安全系统；以及维护资讯安全政策。

听说国内银行业者要求「狼性」软体厂商交付「原始码软体」来自我保证「资讯安全」？然其是否能代表高强度「资讯安全」作为，答案是绝对否定的。因为木马化的「开放原始码」极难被发掘，它们看起来就跟正常软体一样毫不起眼，特别适用于「目标式攻击」与「潜伏式功击」。

暂且不探讨「庞大资料库维运」、「大数据运算」、以「AI建模」等议题；前述重要资讯主、侧翼防护强度至少应该与「数位国民卡」并驾齐驱？试问国内法规能否适时管辖、监督？国内主管机关（数位部、金管会、甚至国安单位等）能不担心吗？日日使用「信用支付卡」的民众能不受怕吗？值得三思！

再倒档「披着羊皮的狼」歌词内容：「我小心翼翼的接近怕你在梦中惊醒，…….，我决定我就是那一只披着羊皮的狼；..….，我确定你就是那我心中如花的羔羊！」等语，不由得心跳加速，可能是「杞人忧天」吗？