7 月 13 日,国内爆发首宗银行业遭到国际骇客攻击并得逞的大型犯罪案:第一银行 41 台 ATM,疑似遭到歹徒植入木马程式而中毒,变成“自动吐钞机”,短短 2 天,被海外犯罪集团轻松提领超过 8 千万元。
当台湾金融科技(Fintech)领域已落后他国,现在又出现此案,若我们只追究犯案者的手法,其实无济于事,而是该深思考,到底台湾金融业者面对资讯安全,是用怎样的层次与角度看待。
这次一银事件,为什么一时间这么多钱被提光?问题出在哪?
《商业周刊》专访某位为十几家银行业者担任资安顾问、四大会计师事务所之一的副总经理,透过其第一手告白,看见台湾最真实的金融资安问题。
抢市占率,求快 可以快点上线就好,连风险控管都不问
你去问每家银行“你们的 ATM 主要是归谁管?”“App 又是归谁管?”通常都是跨部门管的。
资安绝不是只有技术面,而是结构面问题,需要跨部门分工和协调。
比方说,有些银行在新兴科技上的能力不是这么强,因银行资讯人员稳定性比较高,所学的都是成熟技术。若银行要发展 Fintech 只有两种做法:一种是赶快去招募新人,有新的能力,其中包含这些新东西;另一种快速方法就是委外,但一委外,就扯到安全问题。
通常委外时会问:什么情况下可以又快、又能管控到风险?大部分银行连这个都不问,只求快,至于安不安全、程式怎么写,其实他们未必有能力去检视。
委外招商,求便宜 价格最低的人就得标,安全检测都没要求
我要强调,委外不是错,重点是你给谁做?这有几个问题,第一个就是招标形式,你用什么形式招标?有没有安全的规格和要求?
你去看现在银行的核心系统检测,招标时都用价格标,安全检测都没有要求,写 App 的话,就是功能正确,赶快交差,让我上线就好了。
招标时,最清楚哪个品质好的就是资讯单位,可是这种需要跨部门的协调。其他单位的人会说,这和买 ATM、电脑那些硬件不就一样吗?来个价格标不就好了吗?这种节省成本的心态,与资讯安全单位不被重视有关。
资安人员,小小小媳妇 他们迫于压力开通系统,有心人士就进来了
在很多银行里面,资讯人员算是小媳妇。他们面临那个业务单位的压力是,“你这个不开通,那个也不通,我们的某某业务、外汇业务和分行的连线都不能做,你就全部把我开通啦。”资讯人员迫于这种压力,就把对外宣称是“封闭式系统”的东西开通,有心人士就可以进来了。
我们和一些银行的资安承办人员见面,他们真的很委屈。问题是,他之前的提醒,有没有被业务单位采纳?当初大家如果是同等地位的对话,会这样吗?
经过一银这件事情后,开始有银行在意:像资安的权责该由谁负责?
一银这件事对台湾发展 Fintech 而言,是一个反省的好机会。之前讲 Fintech 都在谈技术、业务,甚至是速度,这段时间大家更能想想风险的问题。
这件事对台湾是转机还是危机?这回到另一个问题:决策者的心态是什么?如果是保守、消极,那对于推动 Fintech 就是危机。
未来积极发展新兴科技,对于资讯安全的管理也都正面迎战,如果说到也有做到,当然就是转机。
(作者:张舒婷;首图来源:shutterstock;全文未完,完整内容请见《商业周刊》)
