銀行業分享資安經驗

新巴賽爾協定（Basel II），預計2006年開始實施，銀行金融機構將為了有效降低作業風險、加強風險控管，勢必要加強資訊安全管理，參考BS7799標準，建立自我的資訊安全管理系統，有效管理『人』 。銀行公會金融業務電子化委員會資安小組召集人羅安昌表示，銀行公會今年的重點工作就是宣達資訊安全管理驗證的取得；此外，金融銀行單位目前面臨最大的資安挑戰仍是委外管理，畢竟，內部資訊安全管理已經夠擾人了，倘若委外的安全出了問題則更足以動搖銀行的信譽。
積極推動BS7799不遺餘力
銀行金融單位將在今年積極地推動資訊安全管理系統，銀行的資安防護工作如何做得像甕中的陶泥一樣，能緊密連結不讓一絲空氣跑進去呢？甕中一顆一顆陶泥的緊密度，就如銀行中一位位的員工，要如何使銀行的每位員工手牽手，心連心，拉起資安緊密的防護網絡，不讓資安漏洞發生呢？羅安昌說：「資訊安全是大家的責任，全體的責任，不是只有資訊小組的責任，觀察許多資安事件，發現都是人為因素較多，問題還是出現在人，電腦只是工作的平台及工具，操作這工具的主要是人，人若能守得住，才會達到最大成效，為了防止人為失誤，需從制度面、政策面、執行規範及電腦工具的控管等方面，將資訊安全工作做好。」
然而，銀行公會在這方面，除了鼓勵各分行取得驗證之外，在多次的資安會議中，也不斷地與會員分享資安經驗，更著手修正金融機構資訊系統安全基準，供各單位參考，且不斷加強單位內部的資安意識，以下分別說明：
1.取得BS7799提升銀行公信力
在BS7799導入過程必須經過驗證的程序，由公證的第三者來評斷單位內部執行的過程是否符合要求，但銀行以公會的立場而言，不強迫銀行一定要取得認證，但倘若取得，較容易讓民眾安心，若取得資訊安全驗證，將大幅提升銀行在安全方面的公信力。
因為銀行單位是以對客戶的信用及安全服務，維持永續的經營，其為便民的公器，所以特別需要大眾的認同，羅安昌表示，公會鼓勵銀行單位取得驗證，驗證目的是在取得一般公眾的信認，但現在的問題是經過驗證過後，並非保證資安事件不會發生，依照BS7799標準，每半年就要檢核一次，公會建議會員先取得驗證，之後除了有重大改革，再找公證機構來檢核，將取得驗證的動能啟動後，機構內部就要持續不斷地推動，倘若資訊安全管理品質需要再提升，工作流程重新調整，再請顧問公司來輔導、檢視整個作業流程；然而，執行資訊安全管理並非說一定要以特定的方式、準則去執行，最重要的是將資安工作落實。
另外，在未找外界的顧問檢核之前，羅安昌也鼓勵銀行單位先參考顧問公司所提供的資訊安全管理準則，做自我檢核，即可了解單位內部需要改善哪些問題？哪些方面比較弱？了解問題之後，再將問題依需求之急切程度，逐一改善。
執行資訊安全管理時，公會會員會有不同的認知標準，在分享的資安會議中，曾有會員認為自己單位內部都已執行，但當會議中的成員質問他的授權管理在哪？工作流程圖是什麼？工作查核表在哪？卻無法提供可查核的工作文件，又要如何知道基本的工作程序是否落實？因此，在找外部單位檢核之前，單位內部應該自己先做查核，落實所有的程序工作。
2.教育每個人使其了解在資安中扮演的角色
由於金融界本身對安全問題就很重視，所以從備援中心、災害復原、演練、亂碼機制、安全載具、委外延伸都已考量到，但整體對資訊安全管理之意識是較微弱的一環，資訊安全最高指標就是不要讓任何人把資訊帶走，但執行起來的枝節末梢卻不是一句話可結束的。
開始宣導資訊安全管理之後，羅安昌說：「大家比較有安全意識，開始將資料分級，當大家開始注意時，就已走入全民資訊安全的時候，其像教育一樣，需要不斷地教育使用者，喚起他們的資安意識。」
然而，推動資訊安全最重要的是提高每個人的資安意識，倘若不小心把資料洩漏出去，可能不會影響自己，也無圖利他人，但是資料一旦洩露出去就是傷害到別人，以資訊安全來說，這些規範即是針對銀行全體員工，教育訓練大家慢慢了解原來人在資訊安全中扮演重要角色。
3.金融機構資訊系統安全基準供各單位參考
銀行公會的金融機構資訊系統安全基準，從政策面著手做到準則，至實際的處理流程，與電腦工具結合，融合巴塞爾條約中的電子銀行風險管理之原則與BS7799之做法，BS7799主要採用較政策性條文，不會有太多細節的描述，沒有執行細節的規範，執行起來往往造成太大的爭議，因此，銀行公會將執行準則細項擬寫出來，同時與BS7799準則對照，方便內控人員及稽核人員執行。
4.以案例分享提高警覺性
公會舉辦的資安會議，最常討論的內容即是案例檢討，最近銀行單位推動晶片金融卡，就會將近期發生的案例與會員分享，提醒各行庫注意並提高警覺性。
羅安昌特別說了兩件銀行近期發生的案例與各位分享：「在ATM領錢時，前面的帥哥（或美女）插了好幾次晶片卡就是放不進入，回頭跟後面的使用者借晶片卡，趁此時將卡片掉換，當這位好心人開始提錢時，發現剛才借晶片卡的人正在講手機，但不知他正在拍攝密碼，這時好心借人卡的使用者反覆輸入密碼時，機器都顯示密碼錯誤，正感到納悶時，卻不知歹徒下一步就是提領他的錢，這是最近在發行晶片卡時所發生的案例，只要銀行推出新的業務，歹徒就會鑽出漏洞；此外，最近在餐廳使用信用卡結帳時，要特別小心四周是否有人在使用手機，就有歹徒佯裝在一旁講電話，趁刷卡的人不注意，利用手機的拍照功能，將信用卡的資料拍起來，利用此來製做偽卡。」

令人燙手山芋的委外問題
對於各銀行金融單位而言，最大的挑戰，其實是委外的管理，委託銀行並不是委外之後，委託單位就完全沒有責任，責任還是在委託單位，此外，從許多銀行的資安事件來看，大部分銀行客戶資料外洩都是由委外單位流出，羅安昌說：「要求內部人員做到這些事已經讓人感到疲倦，要管理到外部的委外廠商，讓銀行單位感到最為困擾，銀行內部可能還是比較好管理，外部的委外廠商又要如何去管理呢？」因此，委外所衍生的問題讓人不得不正視。
然而，委外對銀行金融單位產生的最大風險又是什麼？羅安昌說：「委外其實很重要，只是大家容易忽略這些細節，我認為委外的最大致命傷有兩個，第一是如何確認委外單位的資訊安全管理已做到安全，其二為銀行的永續經營怎麼辦？」
熱衷與人分享的羅安昌，正將他的甕中之寶─委外的經驗談紛紛掏出，與各位分享。
1. 如何確認委外不洩密？
委外單位能做到安全是最重要的，但又怎麼知道委外單位能不洩密做到安全呢？必先了解委外作業流程的方法、步驟及環境，知道他們的作業流程中可能出現了哪些安全漏洞，針對這些安全漏洞再要求委外廠商改進，因此，可先將稽核的內容擬定清楚，再去檢視委外廠商的處理方法是否安全，以下列舉幾個例子，可供參考。
羅安昌說：「除了平時去稽核外，了解委外廠商的環境是否有監視之安控設備，其次，提供委外廠商資料內也須夾雜查核資料，倘若資料外洩，才可確認是哪一批資料外洩，從哪裡外洩？有這些方法和步驟才能證明委外是安全的。」
然而，委外雖然風險提高，羅安昌說：「依我在金融業的觀察經驗，我認為委外還是要做，但要把整個委外作業程序和內容盯緊，在查核過程中必須確認他們是如何將做完的資料銷毀，必須要求委外廠商舉證，委外廠商可能反應這種東西要如何舉證，有沒有銷毀這些東西都是看不到的？看不到是正常的，但是在執行的程序裡，是不是做完資料後，可設定資料自動刪除功能則是很重要，倘若程序中是做完之後由人去刪除，則會有問題，因為人有可能會忘記，所以用程序來彌補安全漏洞，讓人的問題縮到最小，將自動化部分提高，談到自動化的部分，廠商則會反應必須花費更高的成本，這時又必須說服委外廠商，自動化將會使你的總體效益提高且更省錢，品質也會提高，且聲譽佳的話，客源將源源不絕。」
此外，在銀行公會的委外準則中，提供了很多委外管理方法，甚至也將管理的準則名列出來，供各單位參考。
2.委外之後該如何持續經營？
委外之後單位內部是否有維護能力？銀行單位的永續經營該怎麼辦？羅安昌說：「其實IT最怕變孤兒，倘若我請一家廠商寫一套系統，系統完成後萬一廠商跑掉，系統卻出問題了，該由誰來負責呢？這時才發現沒有技術轉移及文件，倘若技術轉移及文件也做了，可能仍舊無法銜接起來，因為我們購買的是委外的經驗，不可能在這麼短的時間將經驗全部吸收，後續的維護及持續運作則是較大的問題。
銀行機構委外的部分倘若是核心業務，後續的維護部分，絕對必須由銀行內部接手維護系統運作；最好在整個案子進行中，同時派員全程參與，除了容易獲得經驗移轉，更容易對整個系統擁有深入的掌握度。此外，核心業務部分委外多半考慮與廠商合作共同成長，共創客戶、銀行、委外廠商三方共贏的局面，這樣才能永續經營。」

結語
資安工作者通常不樂意與人分享各自的經驗，銀行金融單位能透過公會機制，分享彼此資安經驗，甚至利用資安事件，除聯擬應變之道更能提醒所有同業，採取因應之道，將銀行及客戶損失降到最低，創造了源源不絕的商機。

銀行公會金融業務電子化委員會資安小組
銀行公會金融業務電子化委員會資安小組於2004年6月21日成立，目前有17家銀行加入，銀行公會作為政府主管機關與會員銀行之間、會員銀行相互之間、以及會員銀行與民眾之間的橋樑，負責執行資訊作業安全管理規劃與維護等事項。
「金融機構資訊安全基準」經資安小組十一次開會討論後，已擬定草案送至行政院金融監督管理委員會送審，其內容包含資訊資產的分類、歸屬與資安架構、基本安全管理控管及存取控管、網路安全、電腦系統安全、網際網路應用軟體系統安控、應用軟體系統開發維護、實體環境安全控管、備份儲存及復原測試、承包商及轉包商委外管理等，待行政院金融監督管理委員會審核過後，即會分發給各會員，做為執行資訊安全管理的參考。