觀點

以國外經驗看國內金融資安 金融業資安教戰守則

2005 / 02 / 03
文/PwC許偉健 整理/編輯部
以國外經驗看國內金融資安  金融業資安教戰守則

國內金融業傳出180萬筆資料外洩案對金融業而言是否有所影響?就顧問的角度來看,180萬筆這樣的數字量,是否真實需要進一步考據。然而不可否認的,此事件更透露出內部網路安全的隱憂、以及家賊難防的事實。
除了內部的人及系統安全問題,外部網路更是金融資安問題發生的途徑。像最近轟動全美的Phishing(釣魚)網路新詐騙事件,不少知名大企業都成為受害者,如:花旗銀行在短短幾個月之內就遭受Phising七十多次的詐騙手法攻擊,這種新的網路攻擊方式,是透過偽裝為該網站的方式進行詐騙,舉例:像宣稱該客戶的銀行指出,其客戶的帳號或密碼被竊取,通知客戶連接至公司網站更改,用java程式寫一個一模一樣的網址、連接至假網站中,當客戶連上該網站更改帳號資料及密碼時時,竊取其資料。
還有各種不同的新式手法,如:Black Mail…等,這些攻擊手法其實在國外已經出現多時,台灣應該即早未雨綢繆制定預防措施,不要等到不法人士將這樣的技術引進,到時候再防範就措手不及了。但上述這些,仍屬於技術層面,容易解決及防治,而「人為」資安問題屬管理層面問題難度更高,需投入更多心力。
另一個很嚴重,是心態問題。從金融資料外洩事件中,不難發現台灣金融業普遍存著「多一事不如少一事」的心態,只要事件快快平息下來就好,一切都可以掩飾掉,但治標不治本根本問題沒解決,而且極有可能會再次發生。
在英國金融業,上至CEO、下到員工都擁有高度的資安意識,主要因為他們深知法律有嚴格的規範,不遵守就會受罰,因此一開始就清楚地擬定政策與人事規範,宣導防止資安事件的發生。

委外資安無法可管,業者該如何自保?
再談談「委外」,金融業IT設備因為太過於龐大,因此設備往往需要維運人員維護,銀行普遍資訊人員不足,所以在人力以及能力嚴重缺乏的狀況下,委外成趨勢,但委外安全難控管也成為一個不爭的事實。委外需找來獨立稽核單位(Independent Audit),對於委外單位的環境、人事控管等,提供公正、專業的稽核,而非只是由金融單位派幹部去監督。就我觀察,目前委外問題除了除了在於稽核沒有落實外,即使有合約保障,一旦出問題時,仍然沒有實體的辦法可管,原因出在對於資安的定義不深;且即使簽訂了保密協定,裡面也沒有保障外洩這條,更遑論外洩罰責,因此即使外洩也等於無法可管。
雖然仍有個人資料保護法可管,但因為在台灣,此法實際上並不具太大效力,不像英國等先進國家,個人資料保護相當具影響力,除了擁有法規外,一旦個人資料外洩事情發生,如:收到內容載明個人資料的垃圾郵件,就可在初次發現外洩之時,以E-Mail方式通知及警告對方,若屢勸不聽還可透過法律管道以及委員會進行制裁。


外洩管道多,尋著資料流回溯
外洩資料的途徑眾多,像FTP、E-Mail、Internet等,尤其免費的E-MAIL、入口網站相當容易成為有心人士便捷外露管道。因此,在英國很多的金融
業是禁止員工使用免費的E-Mail帳號。同時像實體的印表機、USB等,也都層層管制以防外洩。
擁有網管、防火牆、E-Mail控管、監控系統等系統面的安全管理機制外,更重要的是組織內需轄設「安控小組」人員,將機制實際落實執行。
在筆者任職於英國期間,就有一個案例,是某家知名銀行客戶資料外洩,當時我們費了九牛二虎之力把證據找出來,涉嫌外洩的員工將資料先透過分解、壓縮、加密後傳出,因此資料不但分散且是片斷、亂碼,根本難以成為證據。
我們試著將備份資料調閱出來、再透過加解密系統將資料進行解密同時解壓縮,並使用駭客工具將片斷的資料拼湊成完整的證據,成功地協助破獲此金融機構資料外洩事件。而處置的方式,則是將證據交給該公司的IT人員、IT人員通知該User告知其不法行徑已經被查獲、並向資安小組報告、小組再向User主管報告,彼此討論獲得共識後,決定對此員工的處分。
在英國,資安小組擁有執行力,然而在台灣卻不同,就我觀察,台灣的資安小組無實權,且參與小組的人員通常都是被推派出來的專員,而非真正資安專業人員以致於成效不彰。


進行教育訓練宣導工作
接下來的工作就要開始著手進行教育訓練,宣導資安觀念及做法,在英國有些金融單位會印製宣導海報,貼在公司內醒目的地方;或者是在登入電腦系統時,跳出資安警語視窗等,透過各種不同的方式,以達到即時提醒、加強資安意識的目的。
英國郵局在民營化後曾經發生駭客入侵網站截取帳號密碼,網路上出現不明交易的事件,當下英國郵局立刻防範,同時上網以警示視窗宣導提高警覺,由於郵局的重視以及極積的處理的態度,使得此宗案件不到一周的時間就宣佈偵破。
像國內日前金融機構所遇到的資料外洩事件,對於國內金融機構而言,除了需痛定思痛找出解決之道外,更不失成為一個好的資安活教材,利用這次的事件提升資安警覺性及意識。


人管控宜從身份權限控管開始
另外談談人的部份該如何控管,只要有人就會有信用的問題,如何管理人員是做好資安的基本要項。建議,可從人員最常接觸的資料系統開始著手,包括:資料INPUT、資料庫、資料OUTPUT的整個流程進行管理,並利用員工對系統的權限進行使用者定義、使用權限管理及資料分級,以達到資安有效管理及防治。權限控管這樣的機制,在英國等先進國家蔚為風潮,除了可以有效解決現有資安問題,更能在資安事件發生的第一時間內,提出證據去裁舉處理。
除此,權限控管還要配合應變措施,在危急時能夠即時因應。同時需定期稽核權限控管,有很多的資安事件,就是前面機制都做得很完備,但疏忽了稽核一環,使得資安功虧一簣。
建議,國內金融業可從幾個面項上將權限控管做好,第一、權限控管的技術面著手:禁止內部作業使用USB硬碟等易於將資料Copy的設備使用、主機與伺服器之間的聯結資料控管等。第二、主管需審核所有使用者權限的合法使用程序。第三、公司的保全人員需檢查所有進出入公司內人員所攜入袋子、包包內有無禁止帶出入之讀存取資料產品,以防止資料不法被員工帶出。


總結
就觀察,國內有一半以上通過ISMS資安認證的金融機構,是因為欲取得認證而認證,而非真正想做好資安。因此出現許多資安事件,其實並不訝異,但這也成為國內金融資安的一大警訊,因此要強烈建議,人、資訊控管、外洩管道風險評估、技術、資安部門定義分工、由上到下的資安意識將是做好資安缺一不可的關鍵。

本文作者許偉健現為資誠價值及風險管理服務部協理