Fintech時代，金融業需要建立重視資安文化

2017 / 05 / 08

編輯部

眾所矚目的Apple Pay在台上線兩天，綁定的信用卡張數達41.5萬張，顯示國人對於電子支付工具的使用期待並不低，這是因為隨IT環境的改變，消費者行為也正在變化，為了掌握這股趨勢，無怪乎金融業者尤其銀行爭相透入金融科技(Fintech)領域。然而金融科技與傳統金融業的運作有著本質上差異，在跨足這個領域時各家業者也有不同營運模式與策略，但不變的是在推出Fintech產品或服務之前-，資安絕對是先決條件。

金管會：設立專職CISO 建立重視資安的文化
「我們希望金融業建立起重視資安的組織文化，這樣能影響組織做任何決策與判斷，」金管會資訊服務處處長蔡福隆點出資安對金融發展的重要性。資安應該是組織文化上要具備這樣的基因，作整體性的處理，從系統面、流程面、制度面將安全嵌入其中，需要組織全員的投入資安活動，同時也要有高層的支持及充足資源的挹注，他說。
蔡福隆進一步解釋，任何一項架構在IT上的新服務推出，在系統面必然要依循系統安全開發準則並通過上線前的滲透測試等程序，而風控也會在流程面訂定風控規範、限額或業務單位權限等措施，各部門各司其職。

然而重視資安的組織文化不是一蹴可幾，在金融業接連發生ATM盜領案與券商DDoS攻擊等重大資安事件後，今年三月金管會要求本土銀行需在6個月內設置資安專責單位及相當層級之專責主管。蔡福隆指出，由於各家銀行的規模及業務複雜程度不同，所投入資源也不盡一樣，因此採取循序漸進方式，不會一開始就要求此一專責單位或主管必須設置在何種層級，而是建議未來再漸進提升到獨立單位。

目前除了少數在美國有設立分行的銀行已被要求設有專職資安主管外，現在多數銀行的資安人員，大都隸屬在資訊部門底下。藉由資安專責單位與專責主管的設置後，希望給予更多預算、人力投入資安。

然而資安工作涵蓋技術、管理，範圍極大，蔡福隆以資安三道防線來說明此一專責資安單位的定位。第一道防線是資訊部門每個單位都肩負起相關資安工作，如網管單位負責網路資安，程式開發負責程式碼安全；第二道防線才是由專責資安單位負責制定上述相關資安工作的制度與政策，並檢視其執行成效；而第三道防線則是稽核，包括內部稽核與外部稽核。由三道防線共同架構起資安工作與組織。

「資安沒有做好，創新恐怕會造成更大傷害，」蔡福隆說。

APT情資分享 F-ISAC讓業者先一步預防
不只是競逐Fintech市場的銀行需要建立資安文化，證券業也成為駭客鎖定的勒索標的。今年初，十幾家券商接連遭受DDoS攻擊並收到勒索信，其中不乏大型券商。蔡福隆認為，防禦DDoS攻擊需以DDoS攻擊型態來看，若是屬於塞爆流量型的DDoS攻擊，應是上游ISP業者需負起較大責任，ISP業者應把流量監控納入整體頻寬租用的服務中，做整體性監控，而非讓個別券商去另購流量清洗服務；若是另一種流量不大但Session很大、慢打快攻型的DDoS攻擊，則是業者自己需負責處理，透過防火牆或前端路由器設備將攻擊來源IP擋下，以防止Session太大拖垮主機效能。總之，對於DDoS攻擊，除了平常訂下處理原則與SOP之外，也需定期演練，一旦受害才能快速應變將衝擊影響降到最低。

金融業資安資訊分享中心(F-ISAC)預定在本季六月底前上線運作，透過F-ISAC的通報平台，一旦有一家業者遭受攻擊並上線通報後，就能讓其他業者預先防範。蔡福隆指出，通報平台只是資安防禦的其中一項措施，資安有太多事情需要同步去做，而非單靠情資分享就能解決問題。此外，對資安人員而言每日都會收到資安情資，很難判斷今日兩家業者通報受到攻擊，明日會成為全面性擴大攻擊或是攻擊停止。做資安不須「看到影子就開槍」，平日例行的資安基本功要做好並多觀察，是資安防禦工事的不二法門。

儘管F-ISAC通報平台對DDoS攻擊防禦成效有限，但相關駭客攻擊情資的分享對金融業來說就意義重大。駭客攻擊往往鎖定特定產業，且會針對相同設備系統的弱點發動零時差攻擊，掌握此類情資將有助於業者預先防範，因此駭客攻擊情資分享將是F-ISAC的亮點。

從平日監控、事件演練、教育訓練、事件時通報應變、事件後處理…等，資安工作需面面俱到。透過專責單位的設立，讓資安部門具足夠資源能聚焦於政策制定與執行檢視的PDCA上，協助組織推動資安工作，並透過F-ISAC建立起資安分享文化，讓整體金融秩序不受駭客攻擊惡勢力所破壞。

Fintech Apple Pay