首頁 > 焦點新聞

資安是金融科技創新的基礎

作者:編輯部 -2017 / 06 / 09 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

當IT資訊與產業結合服務的型態也隨之轉變,如近幾年各國金融談的金融科技(FinTech)就是一個例子。藉由IT資訊技術的數位化轉型,讓傳統的金融服務能以創新的方式帶給消費者不同的服務體驗。因此當與金融業務緊密結合的同時,對IT資訊也產生了一些本質上的轉變。

拉高安全管理層級 內化到每個業務環節
勤業眾信協理林彥良提到,以往金融業的IT資訊通常與業務部門分開,主要定位在提供後勤支援的技術平台。但隨著數位化轉型的過程中,IT資訊角色也不斷地向前進步。因為企業在設計相關金融服務時,如果為搶佔市場先機趕著推出產品,相關的安全問題卻未防護周全,一旦發生問題,嚴重的話甚至可能要將整個業務推倒重新來過,試想這樣的衝擊有多少企業能夠承受呢?,所以IT資訊角色不但需要往前行,甚至需要開始與業務緊密結合。

除了因金融創新業務的考量,使IT資訊人員在企業的定位產生轉變外,另一個就是網路攻擊趨勢的不斷昇高。現在的駭客組織不但分工細密,且彼此間緊密合作,以組成更先進的攻擊團隊。以此次孟加拉銀行的盜領事件為例,這些駭客要懂得環球銀行金融電信協會(SWIFT, Society for Worldwide Interbank Financial Telecommunication)的作業流程、電文的格式內容、交易邏輯,甚至是交易失敗後也知道要清除記錄,可以說這些駭客對金融業務比相關從業人員還清楚。在這種情況下也讓金融科技在資安上面對到更多的挑戰。

所以在服務創新的同時,除了業務部門外,還需把IT資訊、法務等相關單位加進來諮詢,以確認各個環節是否有法規遵循上的風險與問題。對於安全風險的評估,也會從以往單純的資訊安全,拉高到具體的作業層次。所以未來資料保護會以業務的角度去看,從與業務相關的安全控制切入,這意謂資料保護將不只受限於個資範圍,甚至是與營業等關鍵基礎活動的資料都需要納入。

因此當資安不再是單純的技術議題,而涉及到業務活動的範圍時,相對負責的管理人員也應該拉高到董事會的層次。需要將各個業務環節納入思考資訊安全的防護,把對資安的要求內化為整個FinTech數位轉型的一部分,這樣才能成為在全球金融下的競爭利器。

管理著眼 技術著手
為了達到資料保護與業務相關活動不受影響,對安全的控管一方面要從管理著眼,檢視金融科技的創新服務是否存在商業邏輯的漏洞?具體上則從技術著手,採取縱深聯防的安全策略。例如FinTech很多依賴行動網路科技為基礎,所以一旦遭到DDoS攻擊時將對業務重大影響。對此可採用多層次防禦的方式,在外層透過電信業者進行第一步的流量清洗工作,接著在自身的網路閘道口設置像IPS、WAF來做過濾,最後在系統核心的部分就是增加系統的負載備援能力,以免遭到癱瘓。但其實目前對DDoS攻擊並沒有完美的解決方案,這些防禦措施的作用在逐步緩解DDoS對業務的衝擊,盡量維持低限度的日常運作,讓網路服務不致完全中斷。

1
推薦此文章
2
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…