ZKIZ Archives


那天我跟資安人員見面,有人講到快哭了…… 一銀盜領案 圈內人告白資安漏洞

2016-07-25 TCW

國內首宗ATM遭駭吐鈔,雖然主嫌已落網,但這起案件卻將台灣金融資安問題,赤裸裸呈現。

七月十三日,國內爆發首宗銀行業遭到國際駭客攻擊並得逞的大型犯罪案:第一銀行四十一台ATM,疑似遭到歹徒植入木馬程式而中毒,變成「自動吐鈔機」,短短兩天,被海外犯罪集團輕鬆提領超過八千萬元。

當台灣金融科技(Fintech)領域已落後他國,現在又出現此案,若我們只追究犯案者的手法,其實無濟於事,而是該深思考,到底台灣金融業者面對資訊安全,是用怎樣的層次與角度看待。

這次一銀事件,為什麼一時之間這麼多錢被提光?問題出在哪?

《商業周刊》專訪某位為十幾家銀行業者擔任資安顧問、四大會計師事務所之一的副總經理,透過其第一手告白,看見台灣最真實的金融資安問題。

搶市占率,求快

可以快點上線就好,連風險控管都不問。

你去問每家銀行「你們的ATM(在公司內部)主要是歸誰管?」「App又是歸誰管?」通常都是跨部門管的。

資安絕對不是只有技術面,而是個結構面的問題,需要跨部門分工和協調,如果只從資訊部檢討是無效的。

比方說,有些銀行在新興科技上的能力不是這麼強,因為銀行(既有)的資訊人員,穩定性比較高,所學的都是成熟技術。如果銀行要發展Fintech只有兩種做法:一種是趕快去招募新人,有新的能力,其中包含這些新東西;另一種快速的方法就是委外,(但)一委外,就扯到安全問題。

金融科技的本質就是創新、講究效率、市場占有率;你追求快,就會忽略了安全。很多銀行,尤其是那種很想發展數位金融的,通常(委外時)會問:什麼情況下可以又快、又能管控到風險?

會問這個問題的銀行,已經算不錯了,大部分銀行連這個都不問,只求快,希望手機上可以快點買咖啡、快點付費,至於安不安全、程式怎麼寫,其實他們未必有能力去review(檢視)。

委外招商,求便宜

價格最低的人就得標,安全檢測都沒要求。

我要強調,委外不是錯,重點是你給誰做?這有幾個問題,第一個就是招標形式,你用什麼形式招標?有沒有安全的規格和要求?

就我所接觸到的外商銀行,做資安這種服務,在委外的過程中,用評選或「最有利標」,價格當然是個參考,但僅僅是參考,而非絕對,美商、英商、日系的都是。反而是台系銀行,不管民營或官股都是價格標,牌子翻開後,價格最低的人就得標。

當然,他們不會承認,但你去看現在銀行的核心系統檢測,招標時都用價格標,安全檢測都沒有要求,寫App的話,就是功能正確,趕快交差,讓我上線就好了。

這就好像你去做健康檢查,五百元你可以出一份報告,五萬元也可以出一份報告。以他們的採購機制,他們就是會選五百元的,因為他們的心態一定就是用最簡單的,量量身高、體重,抽抽血就夠了。

招標時,最清楚(哪個品質好)的就是資訊單位,可是這種需要跨部門的協調,要跨採購、跨業務、跨風控。其他單位的人會說,這和買ATM、電腦那些硬體不就一樣嗎?來個價格標不就好了嗎?這種節省成本的心態,與資訊安全單位不被重視(有關)。

資安人員,小小小媳婦

他們迫於壓力開通系統,有心人士就進來了。

在很多銀行裡面,資訊人員算是小媳婦。最近富邦大董(蔡明忠)不是出來說,我們有一個李相臣(編按:前刑事局偵九隊隊長,擅長打擊網路科技犯罪,現為富邦金控資訊處處長)。大家就會知道說,喔,原來富邦有一個這樣的人,人家有像樣的position(地位),這樣子沒有人敢說李相臣在富邦是個小媳婦吧? 但在其他銀行,資訊人員只能算是個小媳婦,資安人員算是小小小媳婦。

他們面臨那個業務單位的壓力是,「唉唷,你這個不(開)通,那個也不通,我們的某某業務、外匯業務,和分行的連線都不能做,你就全部把我開通啦。」資訊人員迫於這種壓力,就把對外宣稱是「封閉式系統」的東西開通,有心人士(駭客)就可以進來了。

這兩天(指十六、十七日)我們都在加班(編按:一銀盜領案發生,所有金控高層緊急找顧問提供諮詢),和一些銀行的資安承辦人員見面,有人在解釋一些事情時,眼眶都是紅的,講到快哭出來了。

講這種(專業的)內容,居然會出現這種反應,可見他們真的很委屈。問題是,他之前的提醒,有沒有被業務單位採納?當初大家如果是同等地位的對話,會這樣嗎?

(經過一銀這件事情後)開始有銀行要我們做一些事情,他們開始在意:像資安的權責該由誰負責?

而且,最近這些(要求)不是來自資訊單位,而是董事會、很高層的董字輩長官的需求,請我們開始規畫資安單位結構、組織人力的檢討。

一銀這件事對台灣發展Fintech而言,是一個反省的好機會。之前講Fintech都在談技術、業務,甚至是速度,覺得速度比人家快才有機會贏,(一銀案發生後)這段時間,大家更能想想風險的問題。

這件事對台灣是轉機還是危機?這回到另一個問題:決策者的心態是什麼?如果是保守、消極,那對於推動Fintech就是危機。

昨天(十八日)一銀董事長有說,不會因為這件事情而影響發展Fintech的方向,我們就假設他說的是真的。

未來積極發展新興科技,對於資訊安全的管理也都正面迎戰,如果說到也有做到,當然就是轉機。

撰文者張舒婷

PermaLink: https://articles.zkiz.com/?id=209689

Next Page

ZKIZ Archives @ 2019