企業資安需求(二) 金融業-表面功夫沒有用 確實運用才有效

金融業與金錢交易息息相關，其資安威脅從來都沒少過，更由於近年來網路的盛行，多元化提供服務的需求，出現了更多來自網路的新風險。其主要威脅主要集中在於資料外洩、帳務盜轉和服務中斷的問題。不過雖然都是金融業，但銀行與保險、證券業的核心重點依然會有些不盡相同。

威脅與控制措施

網路服務越發蓬勃 安全更加難以掌控

不管是提供什麼樣的金融服務，網路安全依然是目前很大的威脅之一。以銀行為例其風險的重點在於網路銀行及Web ATM；保險公司在於其線上投保系統，也就是遠端存取控管；證券業重點則在於下單系統，通常為自行開發建置，消費者需要下載這些外掛的應用程式到電腦上進行看盤、下單的動作，而這些應用程式也可能是漏洞的來源。在金融業當中，保險與證券業會有較多的行銷活動，而不管是透過委外或是自建系統，由於這些行銷系統並不是重要的核心系統，所以也比較不重視其上之系統與漏洞，也因此有單位因而被駭客找到攻擊的漏洞，造成入侵成功。

除了網路安全問題，其次則來自於端點控管方面，也就是來自人員資安意識的缺乏，一來是會造成攻擊者利用交工程手法，漸進式的從社交網站逐步找到相關人員的帳號密碼，滲透到內部系統，這種狀況常發生在較大的一線金融機構。二來，有權限的人員也可能有意洩漏，透過Web mail甚至是實體影印、3G/4G行動裝置洩出。

此外，個資法的通過雖不能算是金融業的威脅，但一旦發生資料外洩事件便也會面臨到被罰錢的風險。

建議控制措施：網站應用程式防火牆(WAF, Web Application Firewall) +端點型DLP + 日誌管理 +資料加密

加強網路銀行的安全性，利用網站應用程式防火牆先阻擋網站漏洞和攻擊，並且先行佈署端點型的DLP，防止有權限的人有意或無意將資料外洩，並且做好權限控管和進行文件列印的控管。

網路端的安全威脅，主要來自於應用程式的漏洞，由於過去並沒有安全程式撰寫的觀念，許多自建或是委外的網站都隱含著不少程式漏洞，而除了前端的網站，後端的系統也需要定期更新版本、上Patch，本身也有不少問題。除此之外，端點型的DLP佈署，可以暫時防堵來自有權限的人員，從各個可能的端點洩漏資料。

而為了因應個資法，不少銀行更是開始重視日誌管理的保存，確保資料使用軌跡可以被追朔，並且足以作為證據，此外也加強權限方面的控管，而資料庫的稽核與加密也開始受到重視。

表面功夫做得漂亮 實際問題沒有解決

對於金融業的網路安全，修改應用程式碼並不是短期間容易達到的任務，尤其在累積著前人或是委外廠商心血的疊床架屋構造中。此外，撰寫程式的人員並非資安人員，兼具兩種專業的人才更是少之又少。而WAF聽其字面意思也是個防火牆，卻是需要技術含量、專業含量高的解決方案，並不是一種裝上去就不用管的設備，其設定的複雜度也不是一般使用者能夠輕易學會的事情，更甚者是該單位甚至沒有專業的人員可以處理這個部分。

一名資安專家指出，不管是國內外的銀行，發生外洩事件幾乎都是內賊造成的，有權限的人，長期而有計畫的慢慢將實體文件資料偷出去。對於所有文件的管理，包括實體、文件的輸出，流程整個都需要重新審視，目前一些較大型的金融單位就只剩下DLP還沒買而已，主要是因為導入工程太浩大，每一個端點都要佈署到。在這邊講的真正DLP應該是在每個端點上，產生的資料都可以被確實的掌握流向，不會被流出。

保險業最大隱憂其實在於在外流動的保險業務從業人員，使用的不僅非公司發配的電腦，所經手的文件更是可以長期的保存、列印，如何重新檢討整個作業流程，乃是一個重點。而證券業更著重的風險則在於是否做好備援，儘管備援既花錢又耗費人力，但證券一天的交易量影響利潤甚鉅，更何況賠去的還有商譽，應該考慮清楚是否要賭這一把。

金融業比起其他產業，該買的解決方案是都買了，但大部分都是擺著卻未真正的去使用，所以怎樣真正的落實就是金融業的關鍵。平常重要的關鍵系統要是真的檢查出什麼問題，沒辦法解決就更加的麻煩，稽核也會很有共識的不拿真正關鍵系統稽核。像是之前出事的某金融業為了要符合ISMS，所以花大錢買了知名外商的產品，都裝好了放在那裡，結果出事之後，才叫廠商來看要怎樣設定，才又重新弄一次。剛開始都是表面功夫做得很漂亮，但實際的問題根本沒解決，直到出了事後反而才可能有真正的安全。

因應個資法準備工作多 先從基本的ISMS做起

根據資策會對台灣42家商業銀行所作的調查，僅有21.4%的銀行業者取得ISO 27001認證。但在個資法免責條款的驅動力之下，目前有不少金融業都在考慮導入資訊安全管理制度或標準。而根據資策會的預估，2011金融業的總IT預算為300億新台幣，其中資安投資為24.7億。金融業一邊在等待實行細則的同時，也同時在準備資料存取管理制度的落實、資料存取日誌保留技術、人員權限管理，資料加密、周邊輸出入管理及ISO 27001導入等。