更深廣的角度看待Fintech的資安威脅

2017 / 05 / 19

編輯部

「安全」通常是銀行金融業者給人的第一印象，尤其因為行業的特性與相關法規的要求，在導入IT技術時，資訊安全一定是重要的考量。當駭客攻擊逐漸形成強有力的組織與專業化下，近來全球金融機構陸續發生駭客成功入侵的案例，也促此使金融業真的成為攻擊者眼中名符其實的「提款機」。

當不少Fintech產品以及金管會積極推動「普惠金融」」（Financial Inclusion）為訴求，期許可以透由低成本機制，讓社會各階層均可以享受到金融體系的服務。然而機制則需大量透過網路才能以更平民、簡易的方式提供服務與享用服務，例如電子支付。當透由更多的網路相關應用同時也可能會帶來更多不可預知的資安風險。因此，我們不能需要正視資安的防護觀念於FinTech規劃中。

Fintech應提升管理高度與深度
如何提升FinTech的管理呢?安侯企管顧問部資訊科技諮詢服務副總經理謝昀澤認為，Fintech的經營管理階層，相較於其他行業看待資安議題的角度，應更加注意管理高度並控管落實深度。首先，管理者應認知其他行業遭遇駭客攻擊時，影響範圍包括網路作業、法規遵循等層面。進一步還需思考，可能會造成Fintech產品、服務、經營生存的治理層級問題，所以不僅高階管理階層要有相關認知，董監事成員更應有此意識，並提供實質的承諾與支持。

他認為經營管理階層，除了與IT人員針對客戶多變與創新的需求進行溝通外，在新產品的研發流程中，預先訂定安全控管的基準，評估資安風險的可接受程度，兼顧開發效率與資安風險的要求。承弘國際資安分析師余俊賢也建議，一開始就把資訊安全考量在服務開發的成本內。除此之外，勤業眾信提醒，除了傳統金融監理外，跨國法規遵循也將是金融科技產業經營管理層的另一項需留意的問題。

與傳統IT分工不同
謝昀澤提到，由於Fintech的組織須因應環境需求的快速變化，常見以業務與技術人員混合編成快速作戰團隊，這和傳統的資訊、作業、營運管理、業務，乃至內稽、風控詳細分工有所不同。對IT單位而言，快速敏捷的開發與多變的功能，及內外部大規模的資料應用與交換，對新法規的認知與應變，都是全然不同的挑戰。

因此在資安風險的控管深度及範圍，不能僅侷限於網路與系統的範疇，而要與產品研發、服務流程，及資訊流程緊密結合。且隨著經驗的不斷累積，新創團隊要開始建構一個適用於金融科技產業的SSDLC(軟體安全開發生命週期)，及執行連續性、即時性的風險分析系統，與金融科技資安曝險指數儀表板，最終形成一個適用於自己組織的「Fintech新興科技治理框架」。

需防範App的安全威脅
就實務上，高度仰賴網路科技的Fintech除了網站弱點掃描、滲透測試等原本就需做的安全檢測與相關防護外；為了因應快速變化的業務需求，不少公司會採用敏捷開發(Agile Development)的方式，讓服務能儘快上線搶佔市場商機，因此在App的開發上也特別容易出現安全漏洞。像透過逆向工程反編譯App，找出程式碼的漏洞，或是加入惡意程式碼後再重新封裝上架，藉以竊取用戶的帳號密碼。

果核數位資安團隊指出，開發者可使用程式碼混淆技術來防止程式碼被解讀，但這種方式只是增加逆向工程的困難，且可能造成開發人員在程式偵錯上的問題。所以可以透過完整性的驗證機制，像是計算App檔案的hash值，要求App執行時再進行hash值的比對，如果不一樣則代表該程式可能遭到竄改，而停止執行偽冒的App。另外像針對儲存在手機內如帳密等個人機密資料也要進行加密處理，還有與伺服器網路連線時，除了需加密外還得進行憑證檢查，以免被假冒的伺服器騙取帳號、密碼。

透過認證標準評估委外服務
不過在實務上不少銀行業者是委外進行App的開發，或像華電聯網資通產品及資安服務處副總經理鄭炤仁提到，有些Fintech業者會考慮使用雲端服務，以降低一開始在IT上資本支出，讓資金在運用上更用彈性與效率。這種情況下，IT部門就要具備資安風險評估的能力，了解委外服務廠商所提供的服務是否安全，例如相關的作業規範或是認證就是可供參考的資料。

以App開發而言，像銀行公會發布的「金融機構提供行動裝置應用程式注意事項」、經濟部工業局公告的「行動應用App基本資安檢測基準」等。至於雲端服務的部分則有ISO27017的雲端安全實務規範、ISO27018的個人資料保護、ISO29100個人資料管理指導原則等，這些都是可供參考的標準。

當然，提高對委外廠商的資安標準，可能會造成到服務費用的提高，這也正是一開始我們提到Fintech面臨的資安問題要拉高到整個經營管理階層，如同勤業眾信強調，惟有經營管理階層充分考量資安相關風險議題，才能真正在激烈的金融科技競爭中脫穎而出。

FinTech