以國外經驗看國內金融資安 金融業資安教戰守則

國內金融業傳出180萬筆資料外洩案對金融業而言是否有所影響？就顧問的角度來看，180萬筆這樣的數字量，是否真實需要進一步考據。然而不可否認的，此事件更透露出內部網路安全的隱憂、以及家賊難防的事實。
除了內部的人及系統安全問題，外部網路更是金融資安問題發生的途徑。像最近轟動全美的Phishing(釣魚)網路新詐騙事件，不少知名大企業都成為受害者，如：花旗銀行在短短幾個月之內就遭受Phising七十多次的詐騙手法攻擊，這種新的網路攻擊方式，是透過偽裝為該網站的方式進行詐騙，舉例：像宣稱該客戶的銀行指出，其客戶的帳號或密碼被竊取，通知客戶連接至公司網站更改，用java程式寫一個一模一樣的網址、連接至假網站中，當客戶連上該網站更改帳號資料及密碼時時，竊取其資料。
還有各種不同的新式手法，如：Black Mail…等，這些攻擊手法其實在國外已經出現多時，台灣應該即早未雨綢繆制定預防措施，不要等到不法人士將這樣的技術引進，到時候再防範就措手不及了。但上述這些，仍屬於技術層面，容易解決及防治，而「人為」資安問題屬管理層面問題難度更高，需投入更多心力。
另一個很嚴重，是心態問題。從金融資料外洩事件中，不難發現台灣金融業普遍存著「多一事不如少一事」的心態，只要事件快快平息下來就好，一切都可以掩飾掉，但治標不治本根本問題沒解決，而且極有可能會再次發生。
在英國金融業，上至CEO、下到員工都擁有高度的資安意識，主要因為他們深知法律有嚴格的規範，不遵守就會受罰，因此一開始就清楚地擬定政策與人事規範，宣導防止資安事件的發生。

委外資安無法可管，業者該如何自保？
再談談「委外」，金融業IT設備因為太過於龐大，因此設備往往需要維運人員維護，銀行普遍資訊人員不足，所以在人力以及能力嚴重缺乏的狀況下，委外成趨勢，但委外安全難控管也成為一個不爭的事實。委外需找來獨立稽核單位(Independent Audit)，對於委外單位的環境、人事控管等，提供公正、專業的稽核，而非只是由金融單位派幹部去監督。就我觀察，目前委外問題除了除了在於稽核沒有落實外，即使有合約保障，一旦出問題時，仍然沒有實體的辦法可管，原因出在對於資安的定義不深；且即使簽訂了保密協定，裡面也沒有保障外洩這條，更遑論外洩罰責，因此即使外洩也等於無法可管。
雖然仍有個人資料保護法可管，但因為在台灣，此法實際上並不具太大效力，不像英國等先進國家，個人資料保護相當具影響力，除了擁有法規外，一旦個人資料外洩事情發生，如：收到內容載明個人資料的垃圾郵件，就可在初次發現外洩之時，以E-Mail方式通知及警告對方，若屢勸不聽還可透過法律管道以及委員會進行制裁。


外洩管道多，尋著資料流回溯
外洩資料的途徑眾多，像FTP、E-Mail、Internet等，尤其免費的E-MAIL、入口網站相當容易成為有心人士便捷外露管道。因此，在英國很多的金融
業是禁止員工使用免費的E-Mail帳號。同時像實體的印表機、USB等，也都層層管制以防外洩。
擁有網管、防火牆、E-Mail控管、監控系統等系統面的安全管理機制外，更重要的是組織內需轄設「安控小組」人員，將機制實際落實執行。
在筆者任職於英國期間，就有一個案例，是某家知名銀行客戶資料外洩，當時我們費了九牛二虎之力把證據找出來，涉嫌外洩的員工將資料先透過分解、壓縮、加密後傳出，因此資料不但分散且是片斷、亂碼，根本難以成為證據。
我們試著將備份資料調閱出來、再透過加解密系統將資料進行解密同時解壓縮，並使用駭客工具將片斷的資料拼湊成完整的證據，成功地協助破獲此金融機構資料外洩事件。而處置的方式，則是將證據交給該公司的IT人員、IT人員通知該User告知其不法行徑已經被查獲、並向資安小組報告、小組再向User主管報告，彼此討論獲得共識後，決定對此員工的處分。
在英國，資安小組擁有執行力，然而在台灣卻不同，就我觀察，台灣的資安小組無實權，且參與小組的人員通常都是被推派出來的專員，而非真正資安專業人員以致於成效不彰。


進行教育訓練宣導工作
接下來的工作就要開始著手進行教育訓練，宣導資安觀念及做法，在英國有些金融單位會印製宣導海報，貼在公司內醒目的地方；或者是在登入電腦系統時，跳出資安警語視窗等，透過各種不同的方式，以達到即時提醒、加強資安意識的目的。
英國郵局在民營化後曾經發生駭客入侵網站截取帳號密碼，網路上出現不明交易的事件，當下英國郵局立刻防範，同時上網以警示視窗宣導提高警覺，由於郵局的重視以及極積的處理的態度，使得此宗案件不到一周的時間就宣佈偵破。
像國內日前金融機構所遇到的資料外洩事件，對於國內金融機構而言，除了需痛定思痛找出解決之道外，更不失成為一個好的資安活教材，利用這次的事件提升資安警覺性及意識。


人管控宜從身份權限控管開始
另外談談人的部份該如何控管，只要有人就會有信用的問題，如何管理人員是做好資安的基本要項。建議，可從人員最常接觸的資料系統開始著手，包括：資料INPUT、資料庫、資料OUTPUT的整個流程進行管理，並利用員工對系統的權限進行使用者定義、使用權限管理及資料分級，以達到資安有效管理及防治。權限控管這樣的機制，在英國等先進國家蔚為風潮，除了可以有效解決現有資安問題，更能在資安事件發生的第一時間內，提出證據去裁舉處理。
除此，權限控管還要配合應變措施，在危急時能夠即時因應。同時需定期稽核權限控管，有很多的資安事件，就是前面機制都做得很完備，但疏忽了稽核一環，使得資安功虧一簣。
建議，國內金融業可從幾個面項上將權限控管做好，第一、權限控管的技術面著手：禁止內部作業使用USB硬碟等易於將資料Copy的設備使用、主機與伺服器之間的聯結資料控管等。第二、主管需審核所有使用者權限的合法使用程序。第三、公司的保全人員需檢查所有進出入公司內人員所攜入袋子、包包內有無禁止帶出入之讀存取資料產品，以防止資料不法被員工帶出。


總結
就觀察，國內有一半以上通過ISMS資安認證的金融機構，是因為欲取得認證而認證，而非真正想做好資安。因此出現許多資安事件，其實並不訝異，但這也成為國內金融資安的一大警訊，因此要強烈建議，人、資訊控管、外洩管道風險評估、技術、資安部門定義分工、由上到下的資安意識將是做好資安缺一不可的關鍵。

本文作者許偉健現為資誠價值及風險管理服務部協理