商業周刊/一銀盜領案 圈內人告白資安漏洞

▲第一銀行發生盜領事件。(圖/記者李毓康攝)

文/張舒婷

7月13日,國內爆發首宗銀行業遭到國際駭客攻擊並得逞的大型犯罪案:第一銀行41台ATM,疑似遭到歹徒植入木馬程式而中毒,變成「自動吐鈔機」,短短2天,被海外犯罪集團輕鬆提領超過8千萬元。

當台灣金融科技(Fintech)領域已落後他國,現在又出現此案,若我們只追究犯案者的手法,其實無濟於事,而是該深思考,到底台灣金融業者面對資訊安全,是用怎樣的層次與角度看待。

[廣告]請繼續往下閱讀...

這次一銀事件,為什麼第一時間這麼多錢被提光?問題出在哪?

《商業周刊》專訪某位為十幾家銀行業者擔任資安顧問、四大會計師事務所之一的副總經理,透過其第一手告白,看見台灣最真實的金融資安問題。

搶市占率,求快
可以快點上線就好,連風險控管都不問。

你去問每家銀行「你們的ATM主要是歸誰管?」「App又是歸誰管?」通常都是跨部門管的。

資安絕不是只有技術面,而是結構面問題,需要跨部門分工和協調。

比方說,有些銀行在新興科技上的能力不是這麼強,因銀行資訊人員,穩定性比較高,所學的都是成熟技術。若銀行要發展Fintech只有2種做法:一種是趕快去招募新人,有新的能力,其中包含這些新東西;另一種快速方法就是委外,但一委外,就扯到安全問題。

通常委外時會問:什麼情況下可以又快、又能管控到風險?大部分銀行連這個都不問,只求快,至於安不安全、程式怎麼寫,其實他們未必有能力去檢視。

委外招商,求便宜
價格最低的人就得標,安全檢測都沒要求。

我要強調,委外不是錯,重點是你給誰做?這有幾個問題,第一個就是招標形式,你用什麼形式招標?有沒有安全的規格和要求?

你去看現在銀行的核心系統檢測,招標時都用價格標,安全檢測都沒有要求,寫App的話,就是功能正確,趕快交差,讓我上線就好了。

招標時,最清楚哪個品質好的就是資訊單位,可是這種需要跨部門的協調。其他單位的人會說,這和買ATM、電腦那些硬體不就一樣嗎?來個價格標不就好了嗎?這種節省成本的心態,與資訊安全單位不被重視有關。

資安人員,小小小媳婦
他們迫於壓力開通系統,有心人士就進來了。

在很多銀行裡面,資訊人員算是小媳婦。他們面臨那個業務單位的壓力是,「你這個不開通,那個也不通,我們的某某業務、外匯業務,和分行的連線都不能做,你就全部把我開通啦。」資訊人員迫於這種壓力,就把對外宣稱是「封閉式系統」的東西開通,有心人士就可以進來了。

我們和一些銀行的資安承辦人員見面,他們真的很委屈。問題是,他之前的提醒,有沒有被業務單位採納?當初大家如果是同等地位的對話,會這樣嗎?

經過一銀這件事情後,開始有銀行在意:像資安的權責該由誰負責?

一銀這件事對台灣發展Fintech而言,是一個反省的好機會。之前講Fintech都在談技術、業務,甚至是速度,這段時間大家更能想想風險的問題。

這件事對台灣是轉機還是危機?這回到另一個問題:決策者的心態是什麼?如果是保守、消極,那對於推動Fintech就是危機。

未來積極發展新興科技,對於資訊安全的管理也都正面迎戰,如果說到也有做到,當然就是轉機。
【 更多報導 】

反應快又能幹...曹操竟為「雞肋」殺楊修?職場最忌不長眼:千萬別幫老闆下決定!

外商公司CEO:再好的公司,待久了,還是會變成一個井底蛙

拿得動也別帶!領隊真心話:千萬不要帶去出國旅行的那些東西

從22歲開始工作...一直到60歲退休,人一輩子要花多少錢?實際算給你看

別以為天然最健康!台大化工博士:這種「木製餐具」,可能比塑膠還毒!

※精彩全文,詳見《商業周刊》。
※本文由商業周刊授權刊載,未經同意禁止轉載。

分享給朋友:

※本文版權所有,非經授權,不得轉載。[ ETtoday著作權聲明 ]

相關新聞

讀者迴響

熱門新聞

最夯影音

更多

熱門快報

回到最上面