andk

鴕鳥頭、骨董腦 銀行資安思維 唉…
2017-10-09 00:53聯合報 陳德欽／資訊安全從業人員、中華民國電腦稽核協會會員（台北市）
繼去年第一銀行遭國際駭客由ATM盜領近八千萬元巨款後，遠東銀行又於日前遭駭客入侵SWIFT系統而被盜匯六千萬元美金。駭客隔空取物宛如魔術，多數民眾應是滿心疑問：下次被匯走的會不會是我的錢？銀行資安真的沒問題嗎？

根據筆者經驗，金融業者面對外部資安威脅時常有兩種迷思，第一個迷思是孤島主義，「我們的帳都是放在專屬系統，一般人很少使用甚至根本沒聽過，不會像開放式系統那樣容易被入侵。」第二個迷思是「我們這麼小的銀行，哪個駭客會看上我們？」

關於第一個迷思，一銀與遠銀兩案已經明白告訴這些使用專屬系統的銀行，他們根本不需要學會和破解這些骨董級系統，一樣能讓ATM吐鈔票，也能匯錢到任何地方，而銀行主機渾然不知。第二個迷思則純屬僥倖心態，尤其以基層金融業者居多，總覺得倒霉的不會是我，資安防護跟每年要做的「金融機構資訊系統安全基準」查核，也不過就是做個樣子。

相信國慶連假結束後，每個銀行的資安單位應該會電話接到手軟，因為會有數不清的資安設備廠商說只要買了他們的設備或防護系統，就不會發生像遠銀一樣的事；也會有熱心的顧問公司告訴銀行，由他們來重新規畫及評估資安系統的管理，一定可以提升銀行資安治理能力。

這兩者聽一聽無妨，但金融業者對於資安防護思維必需調整。一是企業內部人員是資安防護最脆弱的環節，所以首要提升的不是砸大錢買那些標榜最新最好的設備，而是加強全員資安意識。二是改變過往想把駭客拒於門外的資安防禦策略，更重要的應該是當入侵事件發生後，銀行能夠多早發現？能夠多快反制，並限縮影響範圍？

最後是政策面是否跟得上多變環境的腳步？去年金管會就表示今年第二季將建置完成國家級金融資安中心，但如今金管會顧立雄主委卻表示將延至第四季才可完成，原因是四千六百萬元的平台採購金額龐大，需謹慎為之。

謹慎為之是正確的，但在此案規畫前就該謹慎為之，而不是時程跳票後才說要謹慎為之。僅從此處就可看政策執行的不用心。金融資安中心能早一日運作就可以早一日降低更多風險，四千六百萬跟可能的風險損失比起來真的多嗎？像這種沒被當一回事的政策就算執行了，能否達到預期效果實在令人存疑，對比政府喊了半天的「資訊安全就是國家安全」實在是最大諷刺。

建構良好的資訊安全環境有賴政策徹底落實，不要讓「金融機構資訊系統安全基準」淪為形式上的檢核，對不符資安要求的系統應強制退場，才能保障系統承受攻擊的能力；亦需要產業界與銀行業者守望相助，共構完整資安防禦技術體系，並且普及資安意識於各個層面，建立「資訊安全，人人有責」的共同認知。