《資安人》日前舉辦金融業資安研討會,特別針對銀行、壽險及證券單位規劃一系列資安議題。活動的起源自於今年1月份金管會宣布Bnak3.0計劃啟動,開放將近十二項網路金融業務。進一步也曝露出資安的防禦疆界與縱深防護也隨之漫射開來。因此,此次活動第一場座談會由資安人雜誌總召集人侍家驊先生主持、星展銀行金融犯罪防制調查暨企業安全部資深副總裁徐子文先生和中央警察大學刑事系兼任教官李相臣先生暢談「Bank 3.0與APT挑戰你、我既有的經驗與知識」。藉由產官學多角度的互動對談,自網路服務擴大後所激發出的資安新觀念,有幾個面向: 數據分析觀測事前徵兆、信賴提昇來自於溝通、企業安全官與資安長聯防合作、Bank 3.0 具體防禦佈署。
數據分析觀測事前徵兆
當今,對於金融業而言隨著資安攻擊型態的轉變,防禦觀念也開始隨之逐漸的改變,但是,我們都知道再怎麼防守都有可能被攻破時候。企業除了必須更重視事件處理、擁有強健的系統、及早知道入侵事件外,又有哪些需要特別面對的挑戰?
李相臣先生表示,不管是在公務部門或金融業,數據分析一向是首要工作,也就是從記憶體中找出資訊以進行中後端分析,包括找出使用資料的異常、使用時間異常、使用地點異常、使用設備異常等,這樣能找到很多攻擊的蛛絲馬跡。其次要做損害控管,畢竟不可能百分百不被攻破,但即使第一次被入侵成功,造成一些損失,經過深入分析後,第二次就必須被攔阻下來。此外,資安人員必須能夠看懂資安設備產生的訊息,報表訊息不應只有廠商看得懂,這樣才可找出許多事前的徵兆。
除了資訊資安系統上的留意外,企業內部管裡面的另外對於在銀行企業裡安全官扮演了重要的角色,對此,徐子文先生表示,當走入Bank 3.0之後,企業主都知道資安很重要,但卻不知是哪裡重要及彼此互為因果關係,身為企業安全官職責是保護企業,必須告訴企業主該怎麼做。包括對基礎設施的保護,以及端點安全。尤其許多事件是客戶端被入侵,例如帳號被冒用,結果由銀行負擔損失,因此需要由安全官進行事件調查,追出結果,並回饋給負責防禦的資安官,彼此互相合作。
信賴提昇來自於溝通
信賴位於企業間是一個穩固的環結鏈,一旦發生了資安事件,資安人員如何獲得高層主管信賴?李相臣表示第一時間必須釐清問題,企業主往往一開始只獲得片面資訊,資安人員先想清楚並且知道事件始末,同時資安人員須把事件完整呈現並正確地向上傳達,而接下來的解決問題或防範之道主管們也都知道需要花費較多時間準備,但盡速釐清問題是立刻應該做的。而建立信賴則有賴於平常一點一滴的累積。
徐子文從負責安全單位的角度表示,若發生事件,安全單位必須指揮調查以提出獨立報告,讓事件對企業造成的損失轉換為學費。對企業主報告時,則必須用老板可理解的語言,並告知事件對企業的衝擊。同時,除了贏得企業主信賴外也必須贏得同事的信任,這樣在一起對高層報告時才能眾口鑠金,要贏得同事的信任則必須公正而不吃案。
企業安全官與資安長聯防合作
金融業負責安全的部門職位經常是慎密規劃,在許多角色的相互配合中,最常見的則是,資訊安全官(Chief Information Security Officer ,CISO) 如何與資訊長(Chief Information Officer, CIO)配合?以及安全官(Chief Security Officer, CSO)如何與CISO配合?
李相臣先生認為,CSO與CIO之間存有不小的隔閡,彼此觀念都需要改變。需要認知企業不可能不發生資安問題,只是事件大小的區別。安全官的職責是要協助資訊長找出問題來源,但關鍵在於不能對資訊長造成傷害,因此事件調查報告下筆需要拿捏,同時企業必須清楚揭示安全官的定位。
徐子文先生則表示,CSO或CISO因為企業組織設計的不同,有些公司設為獨立單位,有些則是兩者角色合併,或者有不同的分工,但不論組織如何設計,要達到最好的效益應該設有三道角色,第一道由資訊長或資安長負責技術防禦,第二道由合規(Compliance)部門代表總經理來監看,第三道則是稽核代表董事長/董事會來查核。因此在發生事件時,專責防禦的CISO將事件移轉到合規部門進行事件調查,合規部門再將調查結果回饋到資安部,這樣的設計較能達到良好運作。
Bank 3.0 具體防禦佈署
Bank 3.0時代金融業導入更多新興科技,資安人員該如何面對並注意哪些風險?
李相臣表示,金融業花太多時間在準備各種報告,應該首先把重點放在實際環節的防禦佈署,例如要求資安設備商提供異常報表,以進行中後端分析。第2、從安全的角度對各種新興科技深入了解。第3、常吸收資安新聞,會發生在同業的事件就有可能發生在自己身上。第4、更新修補程式是安全的基本功,不可少。第5、呼籲銀行公會整合建立金融業資訊分享平台,面對未來攻擊進行聯防非常重要。
徐子文認為,Bank 3.0並未新增太多新風險,反而是過去期待已久的技術終於開放使用,例如自然人憑證可用於線上開戶,這代表虛實結合的法律意義已解決。接下來的挑戰會在於需要有證明能力,也就是認證與不可否認性,證明交易真實存在。另一例子是金融業提供各種App,在獲取客戶個資時需符合個資法規範。其實相關法規都存在,端看企業是否能好好利用並用做為適當解釋。
時代潮流變化時,提供服務的業者,接受服務的消費端,新觀念及新方式相繼而來。當在求新求變的時候,彼此的信賴、溝通、踏實的檢視及佈署是不二法門,它是需要平日的一點一滴的累積。相信未來將可以穩扎穩打進入Bank 3.0資安元年。