專家看金融資安

勤業眾信： 金融資安問題需重新檢視及落實
今天資料外洩不是像補破網一樣，補破的部份就可以。勤業眾信協理萬幼筠指出，金融業這次的資料外洩事件非同小可，相當重大，業者應該要正視，改善之道就是要重新檢視、調整自身的資安政策正確與否、有無實際落實、以及委外業務有無安全控管機制。萬幼筠特別強調，資安不是靠一張紙、一堆文件、或者一份合約就可做得好的！
BS 7799雖非資安萬靈丹，但卻是不得不遵守的資安基本要項，有助於企業擬定正確的資安政策並落實執行。且資安要做好是需要全面性做，BS 7799雖說不能算是最好，但至少是目前市場上具國際水準的資安準則。
萬幼筠強調，BS 7799絕對不是老生長談！且在資料外洩這些事件發生後的時間點看來，BS 7799更是具有絕對的幫助，並可協助企業重新檢視資安政策合宜及完整與否。
他更進一步指出，BS 7799裡面一點要項要求就是需要定期稽核。這點觀念更是金融業在執行資安政策中的關鍵，有助企業去實際落實、切實執行資安。資料外洩等資安問題，往往都是因為企業沒有落實執行資安辦法所致。


IBM： 金融資安政策與執行缺乏對應架構
IBM資訊服務部經理定正偉指出，金融資安事件問題出在兩個面向，一個是BS 7799 政策只交給IT或者風險控管人員，正確的方式應該是上從高層就重視及投入、因為BS 7799與經營決策相關。
另一個問題在於國內金融資安，於策略面、市場面、IT面三部分無法連貫及落實，中間缺乏對應架構、流程也沒有透明化。
業無論資安是自己投入或者委外，都會遇到上述同樣的問題。而解決的方式就是：一、增加信任的程度。二、落實內控及稽核。三、找專人來研究或者委由專業的人來做資安。四、委外的廠商挑選條件：信譽良好、擁有國內外經驗、做事態度負責。
同時可利用工具，去協助落實執行資安，像De-Identification身份識別方案進行資產的保護，有效控管使用者的權限及層級，且資料有其Life Cycle(生命週期)，透過ILM(Information Life Cycle Management, 資料生命週期控管)系統，掌握資料流的歷程，加強資料的安全性，降低讓資料大量外漏的機率。資料備份以及資料委外處理的部份也要注意其安全控管。
定正偉表示，金控後資料也跟隨著進行整併，資料sharing的機率相當高，資安內控更應當要注意，將開發、管理、稽核人員分開，同時資料在傳遞的過程要進行控管及分析、保留存管記錄。


宏碁：增加資訊流自動化、降低人為接觸機會
世上絕對沒有零風險的交易環境！但卻可以透過工具及管理有效將風險降低。資安問題大多出在資料流中，包括資料庫的資料如何傳輸應用的過程中。另外，還有從設備中安裝機器進行側錄。
宏碁為了提供電子化金流（e-Business）服務，本身有一套符合安全的標準，並透過SOP作業流程，去力求與金融客戶及協力廠之間的安全標準符合要求。宏碁電子化服務事業群副總馮文傑強調，「增加資訊流自動化、降低人為接觸機密資料機會、可有效降低資安問題發生機率」。
馮文傑進一步指出，宏碁的客戶將資料加密傳送到宏碁集團內龍潭的eDC機房，再由該機房將資料加密送到製卡公司或者銀行內部系統。除此之外，宏碁提供單筆資料傳送技術，將資料以單筆傳送方式取代整批傳送，降低資安風險。
他說明，將單筆客戶資料加密傳送到機器解密，製卡完成馬上銷毀該筆資料。接著再傳送下一筆客戶資料，一個一個來，而不是整批客戶資料加密傳送再整批解密。降低人員接觸大筆重要資料，加上以一筆一筆處理，使得機密資料更有保障。


優利：內控＋委外管理兩者兼備缺一不可
金融資安事件發生，優利資訊提出幾個解決方案，其指出可從幾個部分來看，包括：整體員工對於資安的重視程度需要加強、獲上級主管支持、業務與IT加強溝通、徹底落實執行至全行等，除上述之外，資安在執行中還有兩大環節是需要重視及注意的，一個就是內部系統；另一個是資安委外管理。
金融業近幾年來競爭激烈，為了提供快速多元化的服務，主機也從封閉式的Mainframe架構，到現在成為Open開放式架構平台。在方便面項開了大門、卻將安全面的洞同步開啟。
優利資訊資深經理呂孟玲指出，開放式平台所換來的就是全安性的問題，因為開放式平台開啟了後門，增加有心人士有機可乘的機會。
而委外是將風險轉移，風險轉移的重點就是需找到一個具信賴的合作夥伴。建議，當然委外之前需先做好風險評估，包括任何部份，不管文件、伺服器、主機…。
委外在台灣才剛開始萌芽，加上金融業的產業性質較保守，選擇委外合作，通常都是將業務切割，一塊一塊逐步委外，端看部份委外業務成效如何後，再決定下一步委外的需求。
優利資訊協理李卓偉認為，這樣的做法，常使得委外的環節不完整，也就自然造成安全上的漏泂，在安全上無法達到控管，委外的服務也沒辦法全面性的提供。