close
IT脆弱三環節 銀行快搞定
分享分享留言列印
A-A+
2016-07-22 03:24 聯合報 廖如龍/文化大學資工系兼任助理教授(新北市)


這次一銀ATM遭盜領事件,國際盜領集團的計畫相當縝密,犯罪計畫的關鍵之一,就是操作「吐鈔病毒」讓車手領款。

不過,百密一疏其中一台ATM病毒未自毀,讓警方查出病毒的功能與類型。目前雖掌握病毒的特性,不過尚未釐清病毒進入ATM系統的途徑,只能先從接觸ATM系統人員調查。

在電子商務環境下,有三個脆弱環節的關鍵點,分別是用戶端、伺服器端及通訊管道:

一、倫敦分行可視為用戶端:警方從一銀總行電腦主機等數位證據交叉解讀,發現倫敦分行內網與總行有密集異常的記錄檔,時間與歹徒領鈔吻合,認為發動駭客的地點就在倫敦。

二、倫敦分行亦可視為伺服器端:倫敦分行內網遭外網入侵,研判犯罪集團透過入侵電腦硬碟取得權限,讓駭客從外網植入惡意程式,透過台灣總行下達指令,造成四十一台ATM自動吐鈔。

那如何防止入侵電腦硬碟取得權限?一般可採用防火牆阻隔外網侵入,一般防火牆功能有嚴密的封包過濾以檢查來源端及目的地端的IP位址;來源端及目的地端的連接埠,進一步可輔以狀態檢視防火牆,以建立起資料流中封包的前後關聯,以防止駭客從一個攻擊行為分散到好幾個不同的封包來傳送。就伺服器端層級,定期上補丁,安裝防毒軟體,避免可能的零時差漏洞,零時差漏洞通常是指還沒有補丁的安全漏洞。

慶幸的是,今天的結局:台灣或一銀可能因盜領案的神速破案因禍得福,一些受害國家,可能請求司法互助,「經一事,長一智」,社會和企業又學到什麼?

金融服務產業是資訊密集產業,資訊科技(IT)在金融服務,在任何企業系統,皆扮演重要角色,因此需要考量IT在內部控制的角色,以維持及保護公司資產免於不當使用、遺失,及誤用。然而,很多董事對IT所引發的內部控制並非有很深刻的了解,甚至並不知道他們應該問甚麼問題恰如其分,以權責相當。

資訊科技治理是公司治理不可分離的一部分,為確保公司治理重要部分皆被涵蓋到,IT首先需要適當的治理。在一個公司的整體治理結構中,IT治理經常是最薄弱的環節,因次,我們也可以這樣說,公司治理是一環節鏈,但總在最脆弱處斷裂,即在IT治理斷裂;所有企業皆有資訊科技治理,差別就在於有效治理的企業,會主動設計一套資訊科技治理機制(如委員會、預算程序、認可、IT組織架構、使用單位吸收費用等等),以鼓勵與公司願景、策略、價值、文化相一致的行為,這些企業改變行為,資訊科技治理亦隨之改變。

此次事件,一銀除了懲處相關人員和全面汰除同款ATM外,可趁機檢視內部網路安全,就整個資安系統,從執行風險評估到發展資安政策,建立資安組織及執行安全稽核,將此次盜領視為「白帽」,幫企業找出並解決資安漏洞。

要記得:安全是一環節鏈,但總在最脆弱處斷裂。

倫敦﹒盜領﹒駭客
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 Andk 的頭像
    Andk

    andk

    Andk 發表在 痞客邦 留言(0) 人氣()