文/商業周刊提供

國內首宗 ATM 遭駭吐鈔,雖然主嫌已落網,
但這起案件卻將台灣金融資安問題,赤裸裸呈現。

七月十三日,國內爆發首宗銀行業遭到國際駭客攻擊並得逞的大型犯罪案:第一銀行四十一台 ATM,疑似遭到歹徒植入木馬程式而中毒,變成「自動吐鈔機」,短短兩天,被海外犯罪集團輕鬆提領超過八千萬元。

當台灣金融科技(Fintech)領域已落後他國,現在又出現此案,若我們只追究犯案者的手法,其實無濟於事,而是該深思考,到底台灣金融業者面對資訊安全,是用怎樣的層次與角度看待。這次一銀事件,為什麼一時之間這麼多錢被提光?問題出在哪?

《商業周刊》專訪某位為十幾家銀行業者擔任資安顧問、四大會計師事務所之一的副總經理,透過其第一手告白,看見台灣最真實的金融資安問題。

搶市占率,求快
可以快點上線就好,連風險控管都不問。

你去問每家銀行「你們的 ATM(在公司內部)主要是歸誰管?」「App 又是歸誰管?」通常都是跨部門管的。

資安絕對不是只有技術面,而是個結構面的問題,需要跨部門分工和協調,如果只從資訊部檢討是無效的。

比方說,有些銀行在新興科技上的能力不是這麼強,因為銀行(既有)的資訊人員,穩定性比較高,所學的都是成熟技術。如果銀行要發展 Fintech 只有兩種做法:一種是趕快去招募新人,有新的能力,其中包含這些新東西;另一種快速的方法就是委外,(但)一委外,就扯到安全問題。

金融科技的本質就是創新、講究效率、市場占有率;你追求快,就會忽略了安全。很多銀行,尤其是那種很想發展數位金融的,通常(委外時)會問:什麼情況下可以又快、又能管控到風險?

會問這個問題的銀行,已經算不錯了,大部分銀行連這個都不問,只求快,希望手機上可以快點買咖啡、快點付費,至於安不安全、程式怎麼寫,其實他們未必有能力去 review(檢視)。

委外招商,求便宜
價格最低的人就得標,安全檢測都沒要求。

我要強調,委外不是錯,重點是你給誰做?這有幾個問題,第一個就是招標形式,你用什麼形式招標?有沒有安全的規格和要求?

就我所接觸到的外商銀行,做資安這種服務,在委外的過程中,用評選或「最有利標」,價格當然是個參考,但僅僅是參考,而非絕對,美商、英商、日系的都是。反而是台系銀行,不管民營或官股都是價格標,牌子翻開後,價格最低的人就得標。

當然,他們不會承認,但你去看現在銀行的核心系統檢測,招標時都用價格標,安全檢測都沒有要求,寫 App 的話,就是功能正確,趕快交差,讓我上線就好了。

這就好像你去做健康檢查,五百元你可以出一份報告,五萬元也可以出一份報告。以他們的採購機制,他們就是會選五百元的,因為他們的心態一定就是用最簡單的,量量身高、體重,抽抽血就夠了。

招標時,最清楚(哪個品質好)的就是資訊單位,可是這種需要跨部門的協調,要跨採購、跨業務、跨風控。其他單位的人會說,這和買 ATM、電腦那些硬體不就一樣嗎?來個價格標不就好了嗎?這種節省成本的心態,與資訊安全單位不被重視(有關)。

資安人員,小小小媳婦他們迫於壓力開通系統,有心人士就進來了。

在很多銀行裡面,資訊人員算是小媳婦。最近富邦大董(蔡明忠)不是出來說,我們有一個李相臣(編按:前刑事局偵九隊隊長,擅長打擊網路科技犯罪,現為富邦金控資訊處處長)。大家就會知道說,喔,原來富邦有一個這樣的人,人家有像樣的 position(地位),這樣子沒有人敢說李相臣在富邦是個小媳婦吧?

※ 本文摘錄自《商業周刊 第1497期 2016/07/20》,立即前往試讀►►►

  • 用Line傳送