別讓駭客搞垮了金融機構

作者/金浩北

 

去年七月爆出的第一銀行ATM盜領事件開出金融機構被駭客勒索的第一槍,兩個月後第一金證券收到勒索電郵,今年農曆年後更發生券商交易系統集體遭受攻擊事件,讓政府和金融業者開始重新審視數位化浪潮下的資安策略,然而這一連串的資安事件帶給我們的啟示究竟是甚麼呢?

 

事情應該從當年的古裝連續劇「保鑣」說起,當年的錢莊為了運送黃金白銀,並須聘請武林高手護航以免被盜匪行搶。到了現代,銀行為了怕遇到搶匪,必須大量雇用保全人員甚至準備固若金湯的運鈔車。

 

然而隨著時代演進,銀行作業已經全面電腦化,無現金交易漸漸成為主流,所謂「搶銀行」的概念也該從過去江洋大盜、李師科的形象轉變成為電腦駭客的專利了。也就是說,新時代的銀行搶匪不需要全副武裝、不需要親臨現場,可以人在俄羅斯、北韓、中國等地動動手指頭就搶你的銀行。

 

一年前台灣首次發生ATM被入侵盜領近億元現金的案例,苦主竟然是相對經營穩健的第一銀行,不久後同為第一金集團的第一證券又傳出被駭客威脅癱瘓交易系統,亦為國內券商首度遭到勒索,繼這兩起首發事件後,就像點燃烽火似的燒起資安危機。

 

今年年初爆發了13家券商集體遭到DDoS攻擊,造成網路塞爆無法下單的狀況,令不少投資人陷入恐慌,這一連串的事件暴露出台灣現行的資訊治理標準似乎已經過時,無法應付新形態的網路攻擊,雖然後續檢調單位針對原因進行抽絲剝繭的調查,但真正重要的是,金融業身為一個保管這麼多錢、擁有最多機密個資的行業,在數位化浪潮與科技進步下的資安風險意識是否脫節了?

 

諷刺的是,與其他傳統產業相比,在台灣金融業一直是在資安系統的投資上花費最多的產業,再加上台灣高度監管的法律環境,金融業者在內外稽核的盡心盡力似乎都讓人感覺這些銀行券商的資安非常可靠。

 

問題在於,台灣金融業者在資安方面的投資與國際大型金融機構相比少的可笑,隨著科技的快速發展,誕生出許多新型態的網路攻擊模式,透過無遠弗屆的網際網路,駭客不搶你搶誰呢?

 

從近期發生的資安事件來看,這些攻擊手段已經可以直接影響到業務運作,而大家的資安治理層級卻仍停留在作業層面,認為資安與公司整體營運並不直接相關,把它編制在IT部門的附屬單位,直到發生了這些事情後才發現未控管的資安風險不只能帶來實際金額的損失,更嚴重的是打擊到客戶的信任感,將足以動搖金融機構的經營根基。

 

換而言之,資安風險早已成為公司營運風險的一部份,因此將資訊安全納入董事會或相關營運策略的風險議題、設立專門的資安團隊研擬相關策略與事件處理機制,甚至在獨

 

立董事人選上考量具有資安背景的專業人士,或許才能真正落實與時俱進的防駭思維、有利於更完善的經營策略規劃。

 

 

金浩北/政大財稅系、早稻田企業碩士,現任金融機構主管。

掌握最新政治評論:https://goo.gl/E8ByGy

 

* 以上言論為作者撰述,不代表本頻道立場。

您可能也喜歡…

發表迴響

你的電子郵件位址並不會被公開。