行業別生態與資安

2017 / 02 / 20

編輯部

對於證券業來說，今年農曆過年是個多事之秋，被大家所熟知的，就是有十餘家的券商遭到勒索，並且因DDos攻擊而影響正常的運作。另外還包括某家券商在Java Script中，將身分證字號及密碼等敏感性資料以明碼的方式傳送。甚至有人質疑，這次的DDos攻擊，並非是大流量的攻擊，但是為什麼券商沒有任何防禦的能力呢? 我們試著從不同的角度對這次的事件加以解析。

證券業雖然也是金融業，但相較於銀行業而言，證券業的控管相對是比較薄弱的。就法令遵循面而言，銀行業及保險業已陸續進行資訊安全檢測作業，但證券業是表訂今年(2017) 才開始執行這樣業務。

另外以實務作業面而言，很多銀行業執行的資安管控業務，在證券業而言則較不易推動。舉例，大部分的銀行業已經封閉公司對社群媒體的網路連結，但是在證券業而言，要封閉社群媒體卻相對的困難，原因是很多的業務員會在社群媒體上開立粉絲團或專區，利用這樣的方式來指導客戶下單，只要業務員有這樣的聲音:「其它的券商都沒有管這些，也沒有法令說不可以這樣做，如果我不能用，那我就把客戶帶槍投靠到其他券商。」然而，目前股市接近萬點，屬於熱錢交易的時代，除非高層真有這樣的認知，或是主管機關明令禁止，不然很多的資安作業，在證券業的推動相對是困難的。

此外，證券業的客戶有一個特性，就是非常在意處理速度的快慢，很多券商都以速度為優先考量，但追求速度的同時，往往也就會犧牲掉許多的管控方式。早年還有券商將客戶基本資料放在DMZ(非武裝區)，目的就是在身分認證完畢後，可以直接將資料送到後端進行交易，節省了中間認證和傳輸的時間。也因此有部分券商，對於這些作業而言，只要維持最基本的，甚至只要做主管機關所要求的基本項目，其他的只要是有可能影響到我作業速度的因素，都不會放到優先處理的順序中。

就DDos攻擊而言，近五年的成長率上升了接近13倍，就企業營運面而言，已經是一個重大的威脅，而且一旦發生，還會影響到公司正常的運作。況且DDos的解決方案又不是ISP業者打開個設定就可以解決的，或是在現有承租的線路中另一個附加選項，但是卻有可能因此而影響到作業的速度，每個月還要多付一筆類似保險費用，請問有幾個高階主管會採取資安人員的建議而去說服業務單位?

對於這些新型態的威脅，不是只有在紙本作業上列出來，然後覺得目前沒有發生就沒有後續的處理，其實在處理的同時，可能還要對行業別的生態做更近一步的考量才會有較為有效的成果。