十大金融資安問題 你，不可不知！

金控使得金融業版圖不斷擴大，服務更為多元，金融百貨藍圖正逐步建置成形。不過最近頻傳金融資料外洩事件，卻突顯出金融業務快速擴增，缺乏配套的資安規範管理，使得金控公司像極了一隻金融巨獸，其資安危機正擴大當中。

大量金融資料外洩 金融資安露隱憂
警方破獲一千八百萬筆金融資料外洩案件，給國內金融業一個非常大的震撼教育，每家金融業者紛紛上緊發條，呈現紅色警戒狀態。同時政府金融機關發函各金融單位，除了重複再次宣導相關資安觀念及措施並進行勘查外，報章媒體也以大版面連續篇幅刊載二、三天…。
金融業在面對資安事件之時，該如何處理？「勇於面對問題，是解決資安問題的最佳方式。」這是第一資訊北亞區業務開發總監楊櫻姿給的觀念。做過美國、中國大陸多家大銀行資料委外業務多年，她發現，台灣的金融業普遍對於資安意識相當薄弱，面對資安問題的處理方式也相當消極，這將是金融業的一大隱憂。
放眼國外金融業，其重視資安的程度相對高出不少。優利資訊安全與網路業務協理李卓偉指出，國外金融業在資安的投入平均約佔資訊總投資金額的20~30%，但反觀國內資安的投資金額佔總資訊投資金額不到10%。經分析，主要是因為國外金融業，從規劃資訊基礎建設到AP開發、資安都被視為重要的一環，自然資安預算的比重極高。而台灣的金融業則迥異，較重視的是花俏的行銷花招，以業務為導向，資訊應用的投入反而不深，更別談資安投入及落實。
越是大的企業，業務不斷擴展，安全如果做得不好，後果更是不堪設想。在此次封面故事中，我們將提出「十大金融問題省思及建議」，希望給金融業的CEO 及CIO一些省思；


一、對於個人資料重視程度不足
歐美國家、以及亞洲國家像日本，每個人甚至企業對於個人資料都極為重視，更視為是重要的資產。勤業、優利、第一資訊等業者指出，在國外受的教育及工作經驗中，個人資料是被認為需要尊重及保護的。反觀國內個人資料極度不被受重視，甚至被拿來當成販買的商品。


二、新進員工甄選不仔細
台灣企業雇主在雇用新人時，不太會去實際徵查此人的過去背景。而曾在美國擔任資安稽核的勤業眾信協理萬幼筠表示，美國公司對於員工的個人背景資料記錄是相當重視的，尤其是做資安服務的人員，甚至只要有開車超速記錄就不被錄用。
第一資訊楊櫻姿也同樣指出，其在美國金融資訊服務業工作的經驗，通常企業在錄用員工，都會先進行人員的審核，無論是透過人力仲介公司、或者打電話到前個公司進行訪查。這也正代表著，美國企業相當重視人員的人格、操守、甚至過去有無不良記錄…等，並善用人力資源，以做好資安防護的第一步措施。
資安系統商優利在選擇新人時，也是同樣在人的素質方面要求，第一、透過獵人頭公司尋找適合的人選，並增加人員的可用度及信譽 。第二、對新進員工進行學歷、父母職業的查核，以避免在競爭對手公司上班資料外洩等問題、從前工作雇主手上調出工作記錄資料。
負責優利大中華區資安的李卓偉更分享香港經驗，其指出香港上從政府單位就主動要求廠商提出人員背景說明需求，廠商自然在這方面的著墨也會比較多。
資安事件，最難防的就是人，首先透過人力資源先過濾，雖然說不可能完全杜絕，但是絕對可降低因人而造成的資安事件傷害。


三、資安觀念沒有深入員工心中
目前金融業普遍遇到最大的資安問題，就是人員缺乏資安觀念及資安意識。資安顧問專家及金融資訊主管皆表示，資安觀念應該內化成為每個人的資安意識，同時資安執行也應成為每個人的義務，使資安落實成人人有責的事。
企業內部員工要體認資安，對於企業及客戶的重要性，當資安問題發生，不但會造成企業及客戶金錢及資料損失外，更可能導致形象受損，甚至信用破產。
目前一般說來，擁有資安觀念的人並不多，大多侷限在資訊部門或者控管風險的稽核部門，資安執行面也都偏向在資訊單位、尚末全面性。資安要發揮效力，首先資安觀念要先深入全體員工心中。　
上海商銀的資訊服務處處長羅安昌就指出，其在行內就一直大力宣導人人有責的資安觀念。要做好資安，並非只是資訊處的事，而是需要全行每個人動員。
優利李卓偉更指出，國外的金融單位大多以安全政策為優先，當業務與資安相牴觸之時，絕對是以安全為第一順位。因為國外金融主管了解遇到資安問題及狀況時，對企業及客戶都將有極大的損傷，除了金錢損失、個人機密資料外洩外、嚴重至Reputation(商譽)都會受損。


四、沒有資安政策或空有政策無法落實
勤業眾信萬幼筠表示，走訪稽核國內金融業者之間，他發現沒有資安政策的金融業者大有人在。如此即使購買了大量的資安防護軟、硬體系統，沒有資安政策其資安不但不完整，而且沒有辦法完全發揮作用。因為有些資料並不全然是透過網路傳送，而是離線傳送、或者是委外運用。此時，無資安政策及執行辦法，光有一大堆資安產品，也沒有用武之地，這次資料外洩案就是一個明顯的例子。
另一家不願意具名的資安廠商表示，BS 7799似乎已成為國內金融業提升形象或者炒作話題的題材，以致於使得資安成為形而上，而沒有全面實際落實，或者只在單一部份，如在資訊部先實行、而非全面性。
還有廠商表示，有些金融業者將這些資安產品及認證當成「資安護身符」，以為買了就沒事可以永保平安，所以資安問題出現，很多的金融業者，根本就無從知道問題到底是從哪裡出來？實際上，資安問題發生的層面相當廣泛，因此資安產品等於資安這樣錯誤的觀念需被糾正過來。
而另一個問題在於，金融業雖已有策略，但是組織及業務擴大速度太快，優利資深經理呂孟玲則認為，組織太龐大如此要從點擴大到面的執行度不易，這也是資安辦法無法實際落實的問題所在。
IBM資訊服務部經理定正偉指出，金融資安問題主要在策略、市場、IT三面無法連貫。
同時勤業眾信萬幼筠指出，BS 7799是套非常好的資安準則，但國內金融業卻沒有完全follow。他強調，BS 7799是需要全面同步推行，但業者目前卻只做單一部門導入，使得效益沒有辦法完全發揮。他建議，金融業如果無法完全達到BS 7799裡面的規範時，也可以參照裡面的準則做為企業資安政策的精神。


對於資料流程不清
清楚掌握「資訊流」(Information flow)流程（見圖一），並加以管控，落實稽核，才是有效防杜資料外流關鍵。
勤業眾信萬幼筠特別強調，金融業在定義資訊流時，首先要先清楚的了解資訊流程包括什麼？還有流程中，每個串連點、傳送方式、介面、設備…等。另外一個重要的思考點在於，資料流除了在企業內流動外、尚包括委外的部份，以及離線傳送資料的部份，這些都是難度更高的資安控管環節。


五、業務導向，安全退而求其次
台灣金融業以業務為導向，從新商品業務開發就是以客戶立場為主，以方便度、速度為優先考量，至於資安設計因為會增加使用者的複雜度、降低業務服務效率，因此較不被採納與考量。
另外業務也較強勢，金融業遇到的實際狀況，像業務單位本身不願受限制，當導入資安執行辦法，業務常有反彈聲音出現，他們認為，資安辦法太過複雜，同時此舉代表公司不信任員工，因此不願意使用。
還有當業務與資安發生決策及執行衝突之時，通常台灣的金融業的取捨會以業務為優先決策考量。業者的想法是，只要因為安全所造成的損失在一定限度內，都是可以接受的範圍，因此往往對於金融資安問題，抱持低調消極的態度，而沒有正視處理。
優利李卓偉提出一個觀點：國內銀行重業務，國外銀行則重在Reputation，因此對資安相對重視。


六、跨部門溝通協調不良
溝通不良是造成資安問題的因素之一，IT做IT的、業務做業務的。而如何在資安與業務或者其他部門之間取得度量衡，就需要靠溝通，這個問題才能解決。
業務人員常常抱怨，IT人員程式設計及寫程式的速度太慢，不足以滿足快速推出新商品的速度。而像BS 7799等資安標準，往往是IT部門先行導入，要如何推廣至其他部門，「溝通」就成為重要關鍵。跨部門溝通成為最難的事、最具挑戰的事。
使得資安與業務成為天秤的兩端，彼此永遠在進行拉距戰，如何取得平衡是高深的學問。不宜太過業務導向，因此而無法兼顧安全，亦不宜太過安全使得使用太過複雜而不方便。宏通數碼電子商務部協理鄭嘉信建議，加強溝通是落實資安的第一步。同時他認為現在的金融業務人員豈碼要擁有基礎的IT常識，而更理想的是IT人員要懂得業務，或者兩部門的人對彼此都要有基本的了解，如此溝通問題才可以有效的解決。
鄭嘉信更強調，跨部門溝通共識在於，世上絕對沒有萬無一失零風險資安！正確的資安觀念及資安的關鍵在於，如何有效將資安風險與不方便性同時降至最低，才是溝通關鍵。


七、稽核如何落實？
稽核人員對於資訊科技的不了解，更別進一步談資安，因此要如何去稽核資安有沒有實際落實，對於稽核人員而言有一定的困難度。
IBM定正偉就建議金融機構內的風險控管單位需要絕對中立，不隸屬於各單位之下，而是具獨立性、具公正性單位。稽核人員除了可藉由內部IT人員協助外，更可找尋外部專業中立第三者進行外部稽核，以提升公正客觀及專業性。
勤業眾信萬幼筠建議，稽核單位應設為中立單位。另外，政府宜設中立的稽核單位，且不定期稽核企業，務促使金融業資安實際落實而不是只是口號或者行銷工具。


八、交叉行銷為客戶資料外洩管道？！
另一個客戶資料外洩的漏洞有可能在於交叉行銷(crossing selling)。金融業因為金控風潮，將各種不同的金融單位整合在一起，完整的金控公司橫跨銀行、證券、保險、壽險…等，使得業務呈現等比級數擴張。金控公司強調，整併後透過交叉行銷將可為客戶帶來更多元的服務、同時為金控創造無限商機。
所謂交叉行銷是在各金控子公司的客戶資料在經過客戶同意後，可供任何金控下面的公司使用。IBM定正偉舉例指出，當A客戶在銀行留下的是某部份的資料、而在證券留的是B資料，兩資料間會有重疊、但亦會有新資料的產生，交叉組合起來又將會產生許多組不同的客戶新資料。因此客戶資料安全保密在交叉行銷當中就顯得相當重要。
因此，因為交叉行銷所產生的資料該如何保護，及正視其Data資產的重要性，將是金融業在擴大金融版圖之時需要同步考量的事情。建議在著手進行資料交叉行銷時的資料庫建置中每個步驟，包括：資料倉儲(Data Warehousing)、資料採礦(Data Mining)、資料分析、交叉行銷，安控機制要同步設計並啟動，客戶的資料才不會無原無故大量的流出去，並且讓一些極機密的資料全都露。


九、委外資安難控管
當金融業在委外的過程當中，資料同樣會不小心流出去，成為有機會造成客戶資料外洩的管道，業主究竟應該如何管控？
流程中首先應該要先撰寫RFP（Request For Proposal﹐委外徵求建議書），把委外業務的需求範圍、內容和規格更明確地定義出來，讓委外廠商清楚的知道委外的目的及內涵，其中除了定出需求、預算外，更重要的是當內涵機密資料時，必須與廠商簽定NDA（Non Disclosure Agreement﹐保密協定），以防止資料外洩。
接著簽定服務層級協定(SLA,Service Level Agreement)，將服務範疇與責任、安全機制、網路效能、罰則等，白紙黑字寫清楚。
除此之外，合作過程當中，還要進行實際管控及稽核檢視，了解廠商是否有達到要求的標準。當中如果客戶不清楚該如何規範，可藉由顧問或者廠商協助制定，並且可透過顧問或中立之第三者實際力行定期稽核及不定期的突擊稽核，以確保資安落實無虞。
這裡舉一家擁有卡廠、機房代管、認證服務的廠商的做法為例，廠商為了獲得客戶信任，主動與銀行簽賠償協定、擬定服務層級書、簽NDA保密協定、同時資料中心裡客戶備份資料每個月自動銷毀、員工權限控管、雙道門禁控管、資料點對點專線連接並透過加解密技術傳送。


十、罰則 VS 鑑識 資安第二道防線
既然知道委外管理是件不容易的事，不但容易造成糾紛甚至資安問題，因此客戶及廠商在合作之前還需要將責任權責劃分清楚、同時廠商有責任告知安全風險、並找顧問協助制訂評估表進行評量。
另外除了委外罰則明訂外，內部員工內控外還要有安全鑑識的觀念，萬一資安事件發生存有證據及記錄，可加強資安問題追查，這也是除了落實資安外的第二道防線。
宏通數碼鄭嘉信指出，現在像德國等先進國家透過安全鑑識、通聯存證的方式留下證據的做法將成為趨勢。


結語
重大資安事件發生，金融業不得不開始正視資安問題。探究資安非一蹴可及、非三言兩語、更不是一年半載就可完成，資安是長久之計、是文化變革。
痛定思痛之後，是否體會安全的目的是建立「信用」。而「信用」又正好是金融商品的本質，瑞士銀行帶給全世界客戶的價值不就是「充分的信賴」。也許在一片浮萍般的競逐下，反璞歸真重新找回金融的生命活水，將優先順序改一下，安全擺第一﹙從行銷的角度看，越難做的事，越有可能變為核心價值﹚：重新檢視並制定合宜的資安政策及配套執行方案，更重要的是：不斷的稽核，無論對內部、或對協力廠。


國內外金融組織 對資安做了什麼?
政府怎麼說?金融局呼籲：SOP、備援、資安機制不可少
日前多家銀行遭木馬程式、病毒入侵後，讓網路銀行安全問題浮上檯面。財政部金融局表示，銀行對於網路及資訊系統維護及防堵駭客等，都有一套標準作業程序(SOP)，同時備有備援系統，以因應各種資安事件發生時能即時運作。同時銀行要將資訊系統的防火牆及掃毒機制做到滴水不漏。若金融機構因本身疏失，金融局將調查責任歸屬後，做出適當處置。

財金公司怎麼做? 財金：晶片卡＋PKI　降低駭客入侵
針對國內網路銀行被木馬程式竊取密碼而盜領的犯罪事件，有鑑於此，提供金融資訊服務的財金公司協理潘維忠表示，木馬等病毒程式讓金融資訊系統安全上緊發條，事實上，隨著金融卡晶片化慢慢普及，未來就能有效防堵駭客入侵事件。因為晶片卡擁有動態密碼特色、以及電子簽章認證，重重安全程序，就能有效防堵木馬程式。

國際組織怎麼做？國際發卡組織：推動晶片卡提升安全！
國際發卡組織Visa及MasterCard有鑑於偽冒問題嚴重、磁帶信用卡已經不敷使用，於2000年開始著手推動信用卡晶片化，預計將在2006年全面升級完畢，以增加刷卡交易的安全性、杜絕偽冒及盜刷的風險。
以安全性而言，晶片卡可提供高等級的DAS安全加密機制，其安全性是傳統磁帶信用卡所不及，能在第一時間有效防止偽冒或盜刷、降低社會成本。此外，晶片卡還可以個人資料儲存等多功能合一的應用，增加卡片附加價值及便利性。