close
鴕鳥頭、骨董腦 銀行資安思維 唉…
2017-10-09 00:53聯合報 陳德欽/資訊安全從業人員、中華民國電腦稽核協會會員(台北市)
繼去年第一銀行遭國際駭客由ATM盜領近八千萬元巨款後,遠東銀行又於日前遭駭客入侵SWIFT系統而被盜匯六千萬元美金。駭客隔空取物宛如魔術,多數民眾應是滿心疑問:下次被匯走的會不會是我的錢?銀行資安真的沒問題嗎?
根據筆者經驗,金融業者面對外部資安威脅時常有兩種迷思,第一個迷思是孤島主義,「我們的帳都是放在專屬系統,一般人很少使用甚至根本沒聽過,不會像開放式系統那樣容易被入侵。」第二個迷思是「我們這麼小的銀行,哪個駭客會看上我們?」
關於第一個迷思,一銀與遠銀兩案已經明白告訴這些使用專屬系統的銀行,他們根本不需要學會和破解這些骨董級系統,一樣能讓ATM吐鈔票,也能匯錢到任何地方,而銀行主機渾然不知。第二個迷思則純屬僥倖心態,尤其以基層金融業者居多,總覺得倒霉的不會是我,資安防護跟每年要做的「金融機構資訊系統安全基準」查核,也不過就是做個樣子。
相信國慶連假結束後,每個銀行的資安單位應該會電話接到手軟,因為會有數不清的資安設備廠商說只要買了他們的設備或防護系統,就不會發生像遠銀一樣的事;也會有熱心的顧問公司告訴銀行,由他們來重新規畫及評估資安系統的管理,一定可以提升銀行資安治理能力。
這兩者聽一聽無妨,但金融業者對於資安防護思維必需調整。一是企業內部人員是資安防護最脆弱的環節,所以首要提升的不是砸大錢買那些標榜最新最好的設備,而是加強全員資安意識。二是改變過往想把駭客拒於門外的資安防禦策略,更重要的應該是當入侵事件發生後,銀行能夠多早發現?能夠多快反制,並限縮影響範圍?
最後是政策面是否跟得上多變環境的腳步?去年金管會就表示今年第二季將建置完成國家級金融資安中心,但如今金管會顧立雄主委卻表示將延至第四季才可完成,原因是四千六百萬元的平台採購金額龐大,需謹慎為之。
謹慎為之是正確的,但在此案規畫前就該謹慎為之,而不是時程跳票後才說要謹慎為之。僅從此處就可看政策執行的不用心。金融資安中心能早一日運作就可以早一日降低更多風險,四千六百萬跟可能的風險損失比起來真的多嗎?像這種沒被當一回事的政策就算執行了,能否達到預期效果實在令人存疑,對比政府喊了半天的「資訊安全就是國家安全」實在是最大諷刺。
建構良好的資訊安全環境有賴政策徹底落實,不要讓「金融機構資訊系統安全基準」淪為形式上的檢核,對不符資安要求的系統應強制退場,才能保障系統承受攻擊的能力;亦需要產業界與銀行業者守望相助,共構完整資安防禦技術體系,並且普及資安意識於各個層面,建立「資訊安全,人人有責」的共同認知。
2017-10-09 00:53聯合報 陳德欽/資訊安全從業人員、中華民國電腦稽核協會會員(台北市)
繼去年第一銀行遭國際駭客由ATM盜領近八千萬元巨款後,遠東銀行又於日前遭駭客入侵SWIFT系統而被盜匯六千萬元美金。駭客隔空取物宛如魔術,多數民眾應是滿心疑問:下次被匯走的會不會是我的錢?銀行資安真的沒問題嗎?
根據筆者經驗,金融業者面對外部資安威脅時常有兩種迷思,第一個迷思是孤島主義,「我們的帳都是放在專屬系統,一般人很少使用甚至根本沒聽過,不會像開放式系統那樣容易被入侵。」第二個迷思是「我們這麼小的銀行,哪個駭客會看上我們?」
關於第一個迷思,一銀與遠銀兩案已經明白告訴這些使用專屬系統的銀行,他們根本不需要學會和破解這些骨董級系統,一樣能讓ATM吐鈔票,也能匯錢到任何地方,而銀行主機渾然不知。第二個迷思則純屬僥倖心態,尤其以基層金融業者居多,總覺得倒霉的不會是我,資安防護跟每年要做的「金融機構資訊系統安全基準」查核,也不過就是做個樣子。
相信國慶連假結束後,每個銀行的資安單位應該會電話接到手軟,因為會有數不清的資安設備廠商說只要買了他們的設備或防護系統,就不會發生像遠銀一樣的事;也會有熱心的顧問公司告訴銀行,由他們來重新規畫及評估資安系統的管理,一定可以提升銀行資安治理能力。
這兩者聽一聽無妨,但金融業者對於資安防護思維必需調整。一是企業內部人員是資安防護最脆弱的環節,所以首要提升的不是砸大錢買那些標榜最新最好的設備,而是加強全員資安意識。二是改變過往想把駭客拒於門外的資安防禦策略,更重要的應該是當入侵事件發生後,銀行能夠多早發現?能夠多快反制,並限縮影響範圍?
最後是政策面是否跟得上多變環境的腳步?去年金管會就表示今年第二季將建置完成國家級金融資安中心,但如今金管會顧立雄主委卻表示將延至第四季才可完成,原因是四千六百萬元的平台採購金額龐大,需謹慎為之。
謹慎為之是正確的,但在此案規畫前就該謹慎為之,而不是時程跳票後才說要謹慎為之。僅從此處就可看政策執行的不用心。金融資安中心能早一日運作就可以早一日降低更多風險,四千六百萬跟可能的風險損失比起來真的多嗎?像這種沒被當一回事的政策就算執行了,能否達到預期效果實在令人存疑,對比政府喊了半天的「資訊安全就是國家安全」實在是最大諷刺。
建構良好的資訊安全環境有賴政策徹底落實,不要讓「金融機構資訊系統安全基準」淪為形式上的檢核,對不符資安要求的系統應強制退場,才能保障系統承受攻擊的能力;亦需要產業界與銀行業者守望相助,共構完整資安防禦技術體系,並且普及資安意識於各個層面,建立「資訊安全,人人有責」的共同認知。
全站熱搜
留言列表