那天我跟資安人員見面，有人講到快哭了…… 一銀盜領案圈內人告白資安漏洞

2016-07-25 TCW

國內首宗ATM遭駭吐鈔，雖然主嫌已落網，但這起案件卻將台灣金融資安問題，赤裸裸呈現。

七月十三日，國內爆發首宗銀行業遭到國際駭客攻擊並得逞的大型犯罪案：第一銀行四十一台ATM，疑似遭到歹徒植入木馬程式而中毒，變成「自動吐鈔機」，短短兩天，被海外犯罪集團輕鬆提領超過八千萬元。

當台灣金融科技（Fintech）領域已落後他國，現在又出現此案，若我們只追究犯案者的手法，其實無濟於事，而是該深思考，到底台灣金融業者面對資訊安全，是用怎樣的層次與角度看待。

這次一銀事件，為什麼一時之間這麼多錢被提光？問題出在哪？

《商業周刊》專訪某位為十幾家銀行業者擔任資安顧問、四大會計師事務所之一的副總經理，透過其第一手告白，看見台灣最真實的金融資安問題。

搶市占率，求快

可以快點上線就好，連風險控管都不問。

你去問每家銀行「你們的ATM（在公司內部）主要是歸誰管？」「App又是歸誰管？」通常都是跨部門管的。

資安絕對不是只有技術面，而是個結構面的問題，需要跨部門分工和協調，如果只從資訊部檢討是無效的。

比方說，有些銀行在新興科技上的能力不是這麼強，因為銀行（既有）的資訊人員，穩定性比較高，所學的都是成熟技術。如果銀行要發展Fintech只有兩種做法：一種是趕快去招募新人，有新的能力，其中包含這些新東西；另一種快速的方法就是委外，（但）一委外，就扯到安全問題。

金融科技的本質就是創新、講究效率、市場占有率；你追求快，就會忽略了安全。很多銀行，尤其是那種很想發展數位金融的，通常（委外時）會問：什麼情況下可以又快、又能管控到風險？

會問這個問題的銀行，已經算不錯了，大部分銀行連這個都不問，只求快，希望手機上可以快點買咖啡、快點付費，至於安不安全、程式怎麼寫，其實他們未必有能力去review（檢視）。

委外招商，求便宜

價格最低的人就得標，安全檢測都沒要求。

我要強調，委外不是錯，重點是你給誰做？這有幾個問題，第一個就是招標形式，你用什麼形式招標？有沒有安全的規格和要求？

就我所接觸到的外商銀行，做資安這種服務，在委外的過程中，用評選或「最有利標」，價格當然是個參考，但僅僅是參考，而非絕對，美商、英商、日系的都是。反而是台系銀行，不管民營或官股都是價格標，牌子翻開後，價格最低的人就得標。

當然，他們不會承認，但你去看現在銀行的核心系統檢測，招標時都用價格標，安全檢測都沒有要求，寫App的話，就是功能正確，趕快交差，讓我上線就好了。

這就好像你去做健康檢查，五百元你可以出一份報告，五萬元也可以出一份報告。以他們的採購機制，他們就是會選五百元的，因為他們的心態一定就是用最簡單的，量量身高、體重，抽抽血就夠了。

招標時，最清楚（哪個品質好）的就是資訊單位，可是這種需要跨部門的協調，要跨採購、跨業務、跨風控。其他單位的人會說，這和買ATM、電腦那些硬體不就一樣嗎？來個價格標不就好了嗎？這種節省成本的心態，與資訊安全單位不被重視（有關）。

資安人員，小小小媳婦

他們迫於壓力開通系統，有心人士就進來了。

在很多銀行裡面，資訊人員算是小媳婦。最近富邦大董（蔡明忠）不是出來說，我們有一個李相臣（編按：前刑事局偵九隊隊長，擅長打擊網路科技犯罪，現為富邦金控資訊處處長）。大家就會知道說，喔，原來富邦有一個這樣的人，人家有像樣的position（地位），這樣子沒有人敢說李相臣在富邦是個小媳婦吧？但在其他銀行，資訊人員只能算是個小媳婦，資安人員算是小小小媳婦。

他們面臨那個業務單位的壓力是，「唉唷，你這個不（開）通，那個也不通，我們的某某業務、外匯業務，和分行的連線都不能做，你就全部把我開通啦。」資訊人員迫於這種壓力，就把對外宣稱是「封閉式系統」的東西開通，有心人士（駭客）就可以進來了。

這兩天（指十六、十七日）我們都在加班（編按：一銀盜領案發生，所有金控高層緊急找顧問提供諮詢），和一些銀行的資安承辦人員見面，有人在解釋一些事情時，眼眶都是紅的，講到快哭出來了。

講這種（專業的）內容，居然會出現這種反應，可見他們真的很委屈。問題是，他之前的提醒，有沒有被業務單位採納？當初大家如果是同等地位的對話，會這樣嗎？

（經過一銀這件事情後）開始有銀行要我們做一些事情，他們開始在意：像資安的權責該由誰負責？

而且，最近這些（要求）不是來自資訊單位，而是董事會、很高層的董字輩長官的需求，請我們開始規畫資安單位結構、組織人力的檢討。

一銀這件事對台灣發展Fintech而言，是一個反省的好機會。之前講Fintech都在談技術、業務，甚至是速度，覺得速度比人家快才有機會贏，（一銀案發生後）這段時間，大家更能想想風險的問題。

這件事對台灣是轉機還是危機？這回到另一個問題：決策者的心態是什麼？如果是保守、消極，那對於推動Fintech就是危機。

昨天（十八日）一銀董事長有說，不會因為這件事情而影響發展Fintech的方向，我們就假設他說的是真的。

未來積極發展新興科技，對於資訊安全的管理也都正面迎戰，如果說到也有做到，當然就是轉機。

撰文者張舒婷

PermaLink: https://articles.zkiz.com/?id=209689

📖 ZKIZ Archives

Random Tags