觀點

銀行業分享資安經驗

2005 / 11 / 04
陳佳溶
銀行業分享資安經驗

新巴賽爾協定(Basel II),預計2006年開始實施,銀行金融機構將為了有效降低作業風險、加強風險控管,勢必要加強資訊安全管理,參考BS7799標準,建立自我的資訊安全管理系統,有效管理『人』 。銀行公會金融業務電子化委員會資安小組召集人羅安昌表示,銀行公會今年的重點工作就是宣達資訊安全管理驗證的取得;此外,金融銀行單位目前面臨最大的資安挑戰仍是委外管理,畢竟,內部資訊安全管理已經夠擾人了,倘若委外的安全出了問題則更足以動搖銀行的信譽。
積極推動BS7799不遺餘力
銀行金融單位將在今年積極地推動資訊安全管理系統,銀行的資安防護工作如何做得像甕中的陶泥一樣,能緊密連結不讓一絲空氣跑進去呢?甕中一顆一顆陶泥的緊密度,就如銀行中一位位的員工,要如何使銀行的每位員工手牽手,心連心,拉起資安緊密的防護網絡,不讓資安漏洞發生呢?羅安昌說:「資訊安全是大家的責任,全體的責任,不是只有資訊小組的責任,觀察許多資安事件,發現都是人為因素較多,問題還是出現在人,電腦只是工作的平台及工具,操作這工具的主要是人,人若能守得住,才會達到最大成效,為了防止人為失誤,需從制度面、政策面、執行規範及電腦工具的控管等方面,將資訊安全工作做好。」
然而,銀行公會在這方面,除了鼓勵各分行取得驗證之外,在多次的資安會議中,也不斷地與會員分享資安經驗,更著手修正金融機構資訊系統安全基準,供各單位參考,且不斷加強單位內部的資安意識,以下分別說明:
1.取得BS7799提升銀行公信力
在BS7799導入過程必須經過驗證的程序,由公證的第三者來評斷單位內部執行的過程是否符合要求,但銀行以公會的立場而言,不強迫銀行一定要取得認證,但倘若取得,較容易讓民眾安心,若取得資訊安全驗證,將大幅提升銀行在安全方面的公信力。
因為銀行單位是以對客戶的信用及安全服務,維持永續的經營,其為便民的公器,所以特別需要大眾的認同,羅安昌表示,公會鼓勵銀行單位取得驗證,驗證目的是在取得一般公眾的信認,但現在的問題是經過驗證過後,並非保證資安事件不會發生,依照BS7799標準,每半年就要檢核一次,公會建議會員先取得驗證,之後除了有重大改革,再找公證機構來檢核,將取得驗證的動能啟動後,機構內部就要持續不斷地推動,倘若資訊安全管理品質需要再提升,工作流程重新調整,再請顧問公司來輔導、檢視整個作業流程;然而,執行資訊安全管理並非說一定要以特定的方式、準則去執行,最重要的是將資安工作落實。
另外,在未找外界的顧問檢核之前,羅安昌也鼓勵銀行單位先參考顧問公司所提供的資訊安全管理準則,做自我檢核,即可了解單位內部需要改善哪些問題?哪些方面比較弱?了解問題之後,再將問題依需求之急切程度,逐一改善。
執行資訊安全管理時,公會會員會有不同的認知標準,在分享的資安會議中,曾有會員認為自己單位內部都已執行,但當會議中的成員質問他的授權管理在哪?工作流程圖是什麼?工作查核表在哪?卻無法提供可查核的工作文件,又要如何知道基本的工作程序是否落實?因此,在找外部單位檢核之前,單位內部應該自己先做查核,落實所有的程序工作。
2.教育每個人使其了解在資安中扮演的角色
由於金融界本身對安全問題就很重視,所以從備援中心、災害復原、演練、亂碼機制、安全載具、委外延伸都已考量到,但整體對資訊安全管理之意識是較微弱的一環,資訊安全最高指標就是不要讓任何人把資訊帶走,但執行起來的枝節末梢卻不是一句話可結束的。
開始宣導資訊安全管理之後,羅安昌說:「大家比較有安全意識,開始將資料分級,當大家開始注意時,就已走入全民資訊安全的時候,其像教育一樣,需要不斷地教育使用者,喚起他們的資安意識。」
然而,推動資訊安全最重要的是提高每個人的資安意識,倘若不小心把資料洩漏出去,可能不會影響自己,也無圖利他人,但是資料一旦洩露出去就是傷害到別人,以資訊安全來說,這些規範即是針對銀行全體員工,教育訓練大家慢慢了解原來人在資訊安全中扮演重要角色。
3.金融機構資訊系統安全基準供各單位參考
銀行公會的金融機構資訊系統安全基準,從政策面著手做到準則,至實際的處理流程,與電腦工具結合,融合巴塞爾條約中的電子銀行風險管理之原則與BS7799之做法,BS7799主要採用較政策性條文,不會有太多細節的描述,沒有執行細節的規範,執行起來往往造成太大的爭議,因此,銀行公會將執行準則細項擬寫出來,同時與BS7799準則對照,方便內控人員及稽核人員執行。
4.以案例分享提高警覺性
公會舉辦的資安會議,最常討論的內容即是案例檢討,最近銀行單位推動晶片金融卡,就會將近期發生的案例與會員分享,提醒各行庫注意並提高警覺性。
羅安昌特別說了兩件銀行近期發生的案例與各位分享:「在ATM領錢時,前面的帥哥(或美女)插了好幾次晶片卡就是放不進入,回頭跟後面的使用者借晶片卡,趁此時將卡片掉換,當這位好心人開始提錢時,發現剛才借晶片卡的人正在講手機,但不知他正在拍攝密碼,這時好心借人卡的使用者反覆輸入密碼時,機器都顯示密碼錯誤,正感到納悶時,卻不知歹徒下一步就是提領他的錢,這是最近在發行晶片卡時所發生的案例,只要銀行推出新的業務,歹徒就會鑽出漏洞;此外,最近在餐廳使用信用卡結帳時,要特別小心四周是否有人在使用手機,就有歹徒佯裝在一旁講電話,趁刷卡的人不注意,利用手機的拍照功能,將信用卡的資料拍起來,利用此來製做偽卡。」

令人燙手山芋的委外問題
對於各銀行金融單位而言,最大的挑戰,其實是委外的管理,委託銀行並不是委外之後,委託單位就完全沒有責任,責任還是在委託單位,此外,從許多銀行的資安事件來看,大部分銀行客戶資料外洩都是由委外單位流出,羅安昌說:「要求內部人員做到這些事已經讓人感到疲倦,要管理到外部的委外廠商,讓銀行單位感到最為困擾,銀行內部可能還是比較好管理,外部的委外廠商又要如何去管理呢?」因此,委外所衍生的問題讓人不得不正視。
然而,委外對銀行金融單位產生的最大風險又是什麼?羅安昌說:「委外其實很重要,只是大家容易忽略這些細節,我認為委外的最大致命傷有兩個,第一是如何確認委外單位的資訊安全管理已做到安全,其二為銀行的永續經營怎麼辦?」
熱衷與人分享的羅安昌,正將他的甕中之寶─委外的經驗談紛紛掏出,與各位分享。
1. 如何確認委外不洩密?
委外單位能做到安全是最重要的,但又怎麼知道委外單位能不洩密做到安全呢?必先了解委外作業流程的方法、步驟及環境,知道他們的作業流程中可能出現了哪些安全漏洞,針對這些安全漏洞再要求委外廠商改進,因此,可先將稽核的內容擬定清楚,再去檢視委外廠商的處理方法是否安全,以下列舉幾個例子,可供參考。
羅安昌說:「除了平時去稽核外,了解委外廠商的環境是否有監視之安控設備,其次,提供委外廠商資料內也須夾雜查核資料,倘若資料外洩,才可確認是哪一批資料外洩,從哪裡外洩?有這些方法和步驟才能證明委外是安全的。」
然而,委外雖然風險提高,羅安昌說:「依我在金融業的觀察經驗,我認為委外還是要做,但要把整個委外作業程序和內容盯緊,在查核過程中必須確認他們是如何將做完的資料銷毀,必須要求委外廠商舉證,委外廠商可能反應這種東西要如何舉證,有沒有銷毀這些東西都是看不到的?看不到是正常的,但是在執行的程序裡,是不是做完資料後,可設定資料自動刪除功能則是很重要,倘若程序中是做完之後由人去刪除,則會有問題,因為人有可能會忘記,所以用程序來彌補安全漏洞,讓人的問題縮到最小,將自動化部分提高,談到自動化的部分,廠商則會反應必須花費更高的成本,這時又必須說服委外廠商,自動化將會使你的總體效益提高且更省錢,品質也會提高,且聲譽佳的話,客源將源源不絕。」
此外,在銀行公會的委外準則中,提供了很多委外管理方法,甚至也將管理的準則名列出來,供各單位參考。
2.委外之後該如何持續經營?
委外之後單位內部是否有維護能力?銀行單位的永續經營該怎麼辦?羅安昌說:「其實IT最怕變孤兒,倘若我請一家廠商寫一套系統,系統完成後萬一廠商跑掉,系統卻出問題了,該由誰來負責呢?這時才發現沒有技術轉移及文件,倘若技術轉移及文件也做了,可能仍舊無法銜接起來,因為我們購買的是委外的經驗,不可能在這麼短的時間將經驗全部吸收,後續的維護及持續運作則是較大的問題。
銀行機構委外的部分倘若是核心業務,後續的維護部分,絕對必須由銀行內部接手維護系統運作;最好在整個案子進行中,同時派員全程參與,除了容易獲得經驗移轉,更容易對整個系統擁有深入的掌握度。此外,核心業務部分委外多半考慮與廠商合作共同成長,共創客戶、銀行、委外廠商三方共贏的局面,這樣才能永續經營。」

結語
資安工作者通常不樂意與人分享各自的經驗,銀行金融單位能透過公會機制,分享彼此資安經驗,甚至利用資安事件,除聯擬應變之道更能提醒所有同業,採取因應之道,將銀行及客戶損失降到最低,創造了源源不絕的商機。

銀行公會金融業務電子化委員會資安小組
銀行公會金融業務電子化委員會資安小組於2004年6月21日成立,目前有17家銀行加入,銀行公會作為政府主管機關與會員銀行之間、會員銀行相互之間、以及會員銀行與民眾之間的橋樑,負責執行資訊作業安全管理規劃與維護等事項。
「金融機構資訊安全基準」經資安小組十一次開會討論後,已擬定草案送至行政院金融監督管理委員會送審,其內容包含資訊資產的分類、歸屬與資安架構、基本安全管理控管及存取控管、網路安全、電腦系統安全、網際網路應用軟體系統安控、應用軟體系統開發維護、實體環境安全控管、備份儲存及復原測試、承包商及轉包商委外管理等,待行政院金融監督管理委員會審核過後,即會分發給各會員,做為執行資訊安全管理的參考。