觀點

魔鬼藏在細節處- 資訊安全訓練是從基層做起

2016 / 07 / 14
編輯部
魔鬼藏在細節處- 資訊安全訓練是從基層做起

對於今年七月份國內首宗的ATM盜領案件,隨著陸續曝光的案情或是國外的參考報告,逐漸對案情有進一步的了解。真正發生的原因,也許還有待執法機關正式說明釐清,在網路上也有各式各樣的臆測,其實很多人更關心的,是這些惡意程式是如何安裝到銀行的內部網路,但有一點似乎較少有人提起,就是金融從業人員的資訊安全意識,還有很多成長的空間,我們嘗試著針對這一個議題作進一步得探討。

記得在十年前,曾有某銀行分行的職員,利用公司網路下載了許多的影片,結果因為硬碟容量不足,導致防毒軟體無法更新,而癱瘓公司網路的實際案例。這個案例很明顯是行員對於資訊安全的輕忽。經過了時間的洗禮,整個金融環境已經大幅度的改變,從以往銀行業靠著利息差異所賺取收入,到後來的手續費或是外匯收入,到現在提倡的Fintech或是Bank 3.0,銀行業使用資訊化的程度越來越高。但也就正是因為這個因素,每一年的軟、硬體收入都會增加,在整體獲利率沒有增加的情況下,很多的支出就相對減少,資訊安全某些時候就是被犧牲掉的一環。最明顯的例子,就是很多銀行案子,最後都是價低者得標,但得標的廠商是不是有這個能力,甚至有些廠商連基本的資格都沒有,但最後還是承攬得這項業務。試問如果是這樣子的廠商,當然只是想要維持合約得基本項目,其他可能的潛在的風險,就能不碰就儘量不碰,但對於積極攻擊的駭客而言,怎麼可能因為你不做就放慢了他的腳步,自然對於資訊安全意識的認知也就越來越大。

其次在這次事件發生之後,網路上馬上有一個聲音出來,那就是「再把所有的事情都委外,總有一天你的委外工程師會出問題」。這樣的講法,並不是去否定委外工程師的人格操守,而是某些業務可以委外,但管理的權限還是要掌握在自己的手中。但現在很多時候是把這些管理的權限都放在旁邊。對於委外廠商而言,他們可能有的是技術強項,但不見的具備相關的金融背景或知識,對他們來說,你要我做什麼事,我就做什麼事,很少有廠商會主動多做一些,所以如果連管理都不管了,那就變成跟著委外廠商的腳步在走,甚至有得委外廠商人員不斷的更動,到後來形成人才的斷層。一但這些現象出現時,也許短期間或是看得到的業務不會影響,但長時間或是像資訊安全這種平日看不到績效的作業,就會變成一個渾濁的環境,真的不知道什麼時候會摸到大白鯊。

再者金融業有高度的專業知識,這個道理也同樣適用在金融業資訊安全從業人員身上,但國內有些金融業的資訊安全人員,可能都只是抱著業務輪調的心態,或是符合法令要求,金融業同一個人員不可久佔相同的工作,在這個工作上只是短短的待個一、兩年,本身對於資訊安全的認知也還不足,對於金融業的專業領域也不熟悉,那如果連主事者對於業務執行項目的優先順序都不了解,甚或嚴重的連要做什麼都不知道,那又如何能推動其他行員的資訊安全意識。

再舉個例子來說,現在還是可以看到臉書或自己的部落格上,仍然有銀行的行員在貼自家的產品廣告,但有沒有人去思考這些資料是否正確,或是這個人員現在還是不是在這個單位服務,或是我們還有看到理財專員在使用自己的筆記型電腦去執行公司的業務。這些都是對一般行員需要日常進行的資訊安全教育訓練。但如果業務承辦人員只是想主管機關在查那些項目,高層管理當局想的是如果不做會不會有處罰,甚至連查核項目,還是要依照以往條列式的查核方式,但現在這種快速變動的環境,如果只是原地踏步,那看不到的資訊安全漏洞也就會越來越多。

曾經在國外看到銀行分行的行員,在啟動螢幕保護程式時,除了輸入密碼之外還要用指紋進行掃描以比對身分。或是在輸入客戶資料時,就把防窺螢幕放下,以避免過往的行人看到相關資訊,這些點點滴滴除了讓我們羨慕,也深刻了解他們對於銀行從業人員的資訊安全訓練是從基層做起。這些資訊安教育訓練,不是只有一、兩堂線上教學課程,就這樣交差了事,而是要從日常的作業開始推動。魔鬼藏在細節處,也希望能從這個案例中,能夠喚醒金融同業能確時注意並且落實資訊安全教育訓練,從點到面,才有可能把這些漏洞一個個全面補起來。