觀點

2018亞太資訊安全論壇會後觀察

2018 / 09 / 11
編輯部
2018亞太資訊安全論壇會後觀察
在一片智慧浪潮的衝擊下,各個產業都想要跟智慧科技沾上邊,以提升產業與產品的價值,究竟智慧科技對於金融、聯網、製造等產業與應用將帶來甚麼樣的問題與衝擊呢?當歐盟宣布於今年5月25日開始施行號稱史上最嚴格個資法GDPR(General Data Protection Regulation, 一般資料保護規則)之後,又會對消費者與廠商帶來甚麼影響呢?我們將深入為您剖析GDPR這項重大的改變與規範。

當金融遇上智慧科技 相輔相成還是相互衝擊 
 
這些年來,FinTech(Financial technology,金融科技)一詞在金融圈、科技圈都常被提起,儼然成為當今的熱門話題,FinTech是指企業運用科技手段來讓金融服務變得更有效率,因而形成的一種經濟產業。雖然有很多企業已經嘗試投入運用FinTech來推出新的金融商品與應用,但目前其實仍處於嘗試的初期階段。勤業眾信陳志明副總經理表示,台灣金管會於日前開放台版「餘額寶」上線,金管會顧立雄主委也宣布純網路銀行的開放已經有譜,未來將會釋出兩張執照,這都象徵著運用FinTech的數位金融應用已經邁入新的里程碑。

有許多人在面對FinTech所帶來的變化時,主要是擔心金融從業人員是否將會從此失業,這有點像Airbnb對旅館業,以及Uber對計程車業的衝擊類似,面對跨界競爭,大家在面對未知的產業發展可能產生的影響時,難免會人人自危、不知所措。事實上,FinTech雖然結合了金融與科技,但是由於金融業者不了解科技,科技界人士則不了解金融業的法規,導致兩方面想要結合時,就像電影「當哈利遇上莎莉」,總是需要一段磨合與了解的過程,才能讓兩者結合時發揮更大的綜效。就以阿里巴巴當初在中國想要申請成立銀行為例,也受到中國銀監會的嚴格要求,需要去調適與了解金融業的各種規定,這都需要一段漫長的學習過程。

陳志明表示,就以目前新型的UBI(Usage-Based Insurance)保險模式為例,可以透過科技(例如智慧手環)來了解要保人的健康狀況,結合體檢結果,彈性化地計算保費,這種個人化應用模式在未來將會逐漸推廣開來。例如客服機器人、理財機器人等,也將突破既有的金融服務架構,提供客戶更個人化的理財建議。

當前最熱門的科技包括人工智慧(AI)、大數據(Big Data)、雲端(Cloud)與區塊鏈(Block Chain)等,都跟金融業有密切的關係,透過運用這些技術,金融業者可以針對客戶的資料進行深入剖析,依據客戶過往的紀錄,更加了解使用者(KYC, Know Your Customer)的特性,以提供更符合客戶需求的產品。不過,也正因為需要充分利用客戶的資料,更需要做好數位安全管理,以保障客戶的隱私與帳戶安全。

不過,陳志明強調,雖然人工智慧可以進行機器學習,但如果機器學習的資料遭到「汙染」(如駭客入侵),就可能造成人工智慧的學習出現錯誤,得到不正確的結果。另外,雲端服務方面,許多金融機構都會運用委外服務,除非全部都採用私有雲,萬一在某個環節用到公有雲,且沒有對雲端應用做好資料處理的控管程序,都有可能出現客戶隱私洩漏的風險。
從Apple公司積極的在iPhone手機上採用指紋辨識、人臉辨識等生物識別技術以來,讓這類技術也被普遍應用到各種智慧型產品上面,然而,這些資料的保管模式也越來越複雜,若這些生物識別資料遭到駭客竊取,客戶的身分被冒用,恐將造成嚴重的後果。 

再者,目前市面上出現許多第三方電子支付技術,像是Apple Pay、Google Pay、Samsung Pay、Line Pay等不同的服務,且越來越受到消費者的喜愛與歡迎,但盜刷事件也仍然時有所聞。事實上,盜刷問題與採用何種技術並無直接關係,只要遵循信用卡止付規範的標準作業程序(SOP),在資訊管理上做好控管,便可以減少事件的發生,並降低事件發生後造成的損失。其實只要善用FinTech,便可以建立民眾對金融安全的信心,也可以強化業者的品牌商譽,是相當值得投入的科技應用。
內控管理不可少 資安架構最重要
先前震驚國內外的一銀ATM遭駭客入侵的盜領事件,以及遠銀SWIFT遭駭客入侵盜轉帳事件,其實運用的都不是什麼新的手法,也都是在可控制的範疇,卻仍然遭到入侵,顯見組織內仍有管控上的問題。事實上,駭客也不斷的在攻擊手法上推陳出新,金融業仍必須持續注意駭客在新技術上的發展,才能夠在遭到攻擊時,有能力加以因應。

此外幾年前,兆豐銀行紐約分行也因違反反洗錢防制法,慘遭紐約州金融服務署(DFS, New York Department of financial service)處以台灣金融史上最高罰款1.8億美元,肇因於內控出現問題。其中金融三道防線包括業務執行單位、內部控管單位與內部稽核單位,都應該堅守執掌,做好風險管理,才不會讓歹徒發現可趁之機。美國聯邦法及各州法規要求全球性金融機構設計、推動並執行防制、偵測不法金融交易活動之相關政策及系統。其中,就要求金融機構的法遵長必須就完全符合對銀行保密法/反洗錢法,及對海外資產控制的監視與篩選計畫要每年提出認證。同時政府也設立舉報專線,方便外部管道可以舉報銀行內部是否有違規事件發生。

隨著大家對於資訊安全的重視,政府也要求金融業必須設立CIO(Chief Information Officer, 首席資訊長),並設立專責的資安單位,導致對資安人才的需求日益增加,這些對資安產業的發展都具有正向的意義。陳志明表示,資安單位必須建立由上而下的資安治理架構,建立風險管理的模式,制定好內部的標準作業程序,若是有委外服務的需求,也必須對委外機關在資安事件的因應能力有所理解,才能減少資安事件的發生。

從組織架構上來看,以往的資安單位常與資訊單位編制在同個部門,但趨勢則朝向將資安單位與資訊部門進行切割,但如何做好職責的劃分與歸屬,目前都還沒有標準的作法。不同規模的銀行所面對的資安風險也有所不同,因此必須依據各家銀行的特性來進行風險評估。
面對著日益嚴重的駭客入侵與網路攻擊,各公司平時就該在企業內建立沙盒環境來進行攻防演練,才不會在遇到真正的駭客攻擊時不知所措,就算是遭受入侵也得做好證據的保全工作,以便事後的追查工作進行,若有服務需要委外進行管理,也不能便宜行事,忽略對委外單位的控管,導致企業暴露在風險之中。

智慧聯網與智慧製造也有隱憂
科技業另外一個當紅的名詞便是物聯網(Internet of Things, IoT),只要透過手機便可以控制各種聯網設備,將各種智慧裝置連結起來。此外,物聯網還可以延伸到智慧製造、智慧交通、智慧城市等應用,預估2020年便會有超過一兆個聯網設備,可見其背後龐大的商機。
但是,物聯網雖然帶給人們生活上的便利,但其背後也隱藏著各種風險。最常見的便是民眾購買網路攝影機(IP Camera)來監控家中的安全,後來竟發現攝影機被不相干的人登入,私密生活被他人偷窺。究其原因,通常是因為用戶端沒有修改網路攝影機的登錄密碼,使駭客只要以原廠的預設密碼就能登入監看畫面,或是用戶所設定的密碼太簡單也很容易被猜到,導致拍攝的影像被登入擷取。 

當前正流行的網紅經濟,許多網紅透過網路進行直播,這些網紅所使用的網路攝影機也很容易成為駭客入侵的目標,讓這些網紅就算沒有上線,也可能處在隨時被監看狀態之下。也有某些智慧電視可能在關機狀態下,麥克風仍然持續在收音,這都將造成使用者的隱私權受到侵犯。此外,在美國也有駭客在一場資安大會上實際示範駭入與會者的藍牙裝置,以操縱泰迪熊,證明只要是物聯網,智慧型玩具都能成為網攻武器。

自駕車已經是各家車廠努力投入的開發項目,雖然今年初曾發生自駕車撞死人的意外,但從錄下的影像分析看來,無論是人為駕駛或是機器駕駛,都很難避免悲劇的發生,自駕車仍具有相當的安全性。不過,在電影「玩命關頭8」中出現自駕車被駭客入侵,導致所有自駕車被壞人操控,朝向同一個目標進行攻擊的情節,這雖然只是電影的虛構劇情,但卻是有可能會發生的狀況。同時也有研究發現,市面上普遍採用、來自4家廠商的7種心律調節器(起搏器)與其周邊系統,就被發現合計超過8000種已知的資安漏洞,可能危及使用者的性命安全,這些已經裝到人體內的產品,要如何修復安全漏洞,也是件相當麻煩的事。

在工業應用方面,在工業4.0的風潮下,帶動智慧工廠的發展,許多工廠也安裝相當多的監控設備,這些設備也有資訊外洩的風險,智慧工廠雖然相當便利又有效率,但廠商在使用物聯網監控設備時,都應先評估環境的使用風險,才不會將商業機密公開在網路環境之中。
為了避免物聯網產品在銷售之後才被發現漏洞,廠商在生產這些具有聯網功能的產品之前,應該先送專業機構進行檢測,以便能夠及早發現漏洞進行修正。由於當前的物聯網應用仍在快速發展當中,許多人對於風險的認知還不夠,因此廠商在進行物聯網設備的開發時,便須規劃好設備的身分認證程序,在設計初期階段,便應該將隱私原則設計進產品中,才不會導致日後產品出現隱私上的漏洞。

個資當作商品販買 廠商大賺廣告利益

KPMG安侯建業聯合會計師事務李冠樟經理表示,這次鬧的沸沸揚揚的臉書(Facebook)用戶個資被劍橋分析(Cambridge Analytica)拿去濫用的事件,臉書自行估計被濫用資料的人數高達八千七百萬,在二十億個用戶之中,可能有多數人的資訊遭到不當搜刮,甚至被利用來影響美國與俄羅斯的總統大選結果。臉書收集了各種奇怪的資訊,包括第一次約會的地點、家庭狀況、學校型態等,這些個資都被用來販售牟利,賺取的廣告費一年超過400億美金,比台積電一年的利潤還要高。

美國國會與美國總統川普於四月初通過了可釐清海外資料存取的雲端法案(Cloud Act),該法案的建立起因於微軟拒絕將存放於愛爾蘭資料中心的客戶通訊紀綠交給美國政府。這個法案不僅可以要求他國企業提供必要性資料接受調查,同樣的他國也可以向美國企業調閱相關資料,這對個人隱私會造成莫大的危害,也造成許多爭議。

此外,由於遭到經常隨機亂打的推銷、詐騙電話令人不勝其擾,因此有不少人會在手機上安裝「來電攔截」APP(如Whoscall),來過濾惱人的電話騷擾,但這些來電攔截APP會在未經授權下,將使用者的通訊錄整合至公開資料庫,只要輸入電話號碼就能查出號碼主人,導致全球約30億人的個資遭到外洩。此外,一些天氣App也會透過GPS定位使用者的位置,並將這些位置定位資訊銷售出去,配合廠商推出根據用戶所在位置附近的促銷訊息,使用者的隱私就這樣不知不覺地被洩漏出去,廠商也因此獲得龐大的廣告收益。

這些事件都會對使用者的隱私權帶來莫大的衝擊,這些事件都間接、直接的影響到歐盟推出GDPR,來針對這些國際大廠做出規範。 

歐盟GDPR保障消費者隱私 制裁美國科技大廠
最近應該很多人都會不約而同的收到許多由各大服務、產品提供商寄給你的個人資料使用權益通知信,要您同意接受新的隱私條款,才能繼續享用相關的服務與產品,這便是受到歐盟GDPR的影響,雖然這些信中通常都不會特別提到GDPR這個名詞。歐盟的GDPR主要是為了打擊美國的Facebook、Google、Amazon等大型公司,以保護隱私權為名對這些美國公司進行經濟制裁,也規範了所有想要把將產品賣到歐盟國家的廠商,都需要將產品做到預設的隱私保護設定。

目前歐盟的GDPR已經成為各國個資法的參考依據,要求未來的獨立監管機關,對於DPIA(Data protection impact assessments, 隱私衝擊評估機制)、DPbD(Data Protection by Design, 隱私保護設計)及DPO(Data Protection Officer, 資料保護長)三項應有明確規範。歐盟GDPR要求使用者必須逐條同意其資料所應用項目,不像以往勾選一個空格便代表同意所有的使用條款。此外,除了姓名、身份證或護照等證件號碼、住址、電話號碼外,能直接或間接識別個人「敏感性」資訊(「敏感性」指的是任何得以揭露種族、政治理念、宗教信仰、健康或性取向等資料),若未取得當事人授權,企業不得使用或處理,若是公司業務涉及敏感資料收集,公司內必須有設立全職的資料保護長。

假使,發生資料被駭的事件,公司必須在72小時內發出警訊,若違反規定,罰款最高可處2千萬歐元(約新台幣7.2億),或是年度全球營業總額4%,兩者取其高者為罰款。這也造成了臉書為了減輕歐盟GDPR個資法可能帶來的衝擊,選擇把原本隸屬於愛爾蘭國際總部管轄的15億名用戶移出歐盟管轄區,讓這些用戶的服務條款改用美國版,而非歐盟版。李冠樟經理強調,在個資的保護涵蓋範圍中,還包括PII(Personally identifiable information, 個人可識別資訊),其內容不僅包括姓名等資料,還包含瀏覽器的cookie,以及GPS的位置資訊,甚至是機器的機碼等資料,因為這些資訊可以被聯結到使用者的身分,因此也需要被保護。此外,當廠商要進行資料分析時,不可以全部採用自動化技術,必須要有人為介入,以避免誤判,影響到個人聲譽。

結語
GDPR規範主要著重在流程面,例如隱私權的聲明告知要清楚、明白易懂,並要有多國語言版本,以方便用戶理解內容,此外也規範在流程控制上要針對PII的直接與間接資料做遮罩,並進行去連結化、去識別化,智慧型設備在啟用時必須告知消費者會收集那些必要性資訊,不可收集敏感性資訊,並注意傳輸安全與App的安全性。

雖然說,想要遵循歐盟的GDPR規範,企業必須做出許多資安工作上的投入,不過,企業只要花點心思去評估公司的電子資料保護狀態,做到資料保護分析,評估企業的資安弱點與威脅,找出可能的風險點,也算是對企業的資安做一次總體檢,並同時能夠保障消費者權益,增加消費者對企業的信任度,這些努力與付出,終將會有所回報。