andk

IT脆弱三環節 銀行快搞定
分享分享留言列印
A-A+
2016-07-22 03:24 聯合報 廖如龍／文化大學資工系兼任助理教授（新北市）


這次一銀ＡＴＭ遭盜領事件，國際盜領集團的計畫相當縝密，犯罪計畫的關鍵之一，就是操作「吐鈔病毒」讓車手領款。

不過，百密一疏其中一台ＡＴＭ病毒未自毀，讓警方查出病毒的功能與類型。目前雖掌握病毒的特性，不過尚未釐清病毒進入ＡＴＭ系統的途徑，只能先從接觸ＡＴＭ系統人員調查。

在電子商務環境下，有三個脆弱環節的關鍵點，分別是用戶端、伺服器端及通訊管道：

一、倫敦分行可視為用戶端：警方從一銀總行電腦主機等數位證據交叉解讀，發現倫敦分行內網與總行有密集異常的記錄檔，時間與歹徒領鈔吻合，認為發動駭客的地點就在倫敦。

二、倫敦分行亦可視為伺服器端：倫敦分行內網遭外網入侵，研判犯罪集團透過入侵電腦硬碟取得權限，讓駭客從外網植入惡意程式，透過台灣總行下達指令，造成四十一台ＡＴＭ自動吐鈔。

那如何防止入侵電腦硬碟取得權限？一般可採用防火牆阻隔外網侵入，一般防火牆功能有嚴密的封包過濾以檢查來源端及目的地端的ＩＰ位址；來源端及目的地端的連接埠，進一步可輔以狀態檢視防火牆，以建立起資料流中封包的前後關聯，以防止駭客從一個攻擊行為分散到好幾個不同的封包來傳送。就伺服器端層級，定期上補丁，安裝防毒軟體，避免可能的零時差漏洞，零時差漏洞通常是指還沒有補丁的安全漏洞。

慶幸的是，今天的結局：台灣或一銀可能因盜領案的神速破案因禍得福，一些受害國家，可能請求司法互助，「經一事，長一智」，社會和企業又學到什麼？

金融服務產業是資訊密集產業，資訊科技（ＩＴ）在金融服務，在任何企業系統，皆扮演重要角色，因此需要考量ＩＴ在內部控制的角色，以維持及保護公司資產免於不當使用、遺失，及誤用。然而，很多董事對ＩＴ所引發的內部控制並非有很深刻的了解，甚至並不知道他們應該問甚麼問題恰如其分，以權責相當。

資訊科技治理是公司治理不可分離的一部分，為確保公司治理重要部分皆被涵蓋到，ＩＴ首先需要適當的治理。在一個公司的整體治理結構中，ＩＴ治理經常是最薄弱的環節，因次，我們也可以這樣說，公司治理是一環節鏈，但總在最脆弱處斷裂，即在ＩＴ治理斷裂；所有企業皆有資訊科技治理，差別就在於有效治理的企業，會主動設計一套資訊科技治理機制（如委員會、預算程序、認可、ＩＴ組織架構、使用單位吸收費用等等），以鼓勵與公司願景、策略、價值、文化相一致的行為，這些企業改變行為，資訊科技治理亦隨之改變。

此次事件，一銀除了懲處相關人員和全面汰除同款ＡＴＭ外，可趁機檢視內部網路安全，就整個資安系統，從執行風險評估到發展資安政策，建立資安組織及執行安全稽核，將此次盜領視為「白帽」，幫企業找出並解決資安漏洞。

要記得：安全是一環節鏈，但總在最脆弱處斷裂。

倫敦﹒盜領﹒駭客