〈觀察〉連電子大廠都被駭 銀行業網路資安也是大戰場

鉅亨網記者陳蕙綾 台北
Tag

鴻海 (2317-TW)、研華 (2395-TW)、仁寶 (2324-TW) 等超過 10 家電子大廠近日相繼遭駭客、勒索軟體攻擊,連電子大廠都被駭客入侵,而金融業是經濟永續發展的血液,隨著數位轉型升級、純網銀來勢洶洶加入戰局、以及開放銀行 (Open banking) 上路,網路資訊安全更是傳統銀行需要關注的重要風險。

資訊安全防護容易百密一疏,駭客只要找到一個漏洞就可能從中侵入企業網路或系統,而且這次專挑高科技大廠,駭客手法愈來愈高明,企業防不慎防,不只這次遭駭的電子業,若對銀行業者來說,近年來正在數位轉型,擔憂的風險也跟著轉型。

從安永聯合會計事務所與國際金融協會 (IIF) 過去十年的《銀行風險管理調查報告》觀察,銀行管理金融風險最初的主要聚焦在資本與流動性風險,隨著公司治理與法規完善、加強三道防線及監理後,銀行體質更健全,逐漸降低財務面的風險與槓桿;近幾年的風險關注角度,開始更關心重大的非金融風險,「網路安全」已經連續三年位居首位,成為銀行業認為最大的風險挑戰。

金融科技發展與各方應用正因為要創新,就要快速迭代開發,同樣也會因應很大的資安風險。而金管會已經核准樂天純網銀開業,隨著台灣將進入純網銀服務時代,以及開放銀行第二階段業務的核准,使金融業者將自家 API 開放給第三方業者,就可能為駭客帶來全新的潛在攻擊機會,若 API 有漏洞,也可能潛藏隱私外洩的資安風險。

銀行高層表示,開放銀行對資安可能產生的挑戰還有,過去銀行的許多監控設備,是由網路層、傳輸層的攻擊訊號來發現惡意行為;不過,開放銀行後,駭客可能會先攻擊 TSP 後,再假冒 TSP 客戶透過 API 向銀行發出交易指示。

因此,整體來說,對傳統銀行而言,必須盡快擁抱數位轉型、加快升級,從商業模式、數位產品、到資訊系統及架構都需要全面革新,連帶的也是資安需要跟著進擊的大挑戰。

如果只是強化資安設備絕對不是萬靈丹,每一種資安設備都有其長處與它的限制,而且許多風險即便買了資安設備也不見得能防範。

銀行高層表示,要做好資安,得先盤點自有的資訊系統、資訊資產,以及資料的重要性,只有全面盤點過後,才知道哪些東西要放在最重要之處,而在資安投資上,得依據企業的系統環境、面臨的風險,逐步編列中長期預算,因為現在的金融服務不是一次到位,而是一步步迭代、擴充規模。

銀行業的資安之所以重要,是因為顧客把身家財產交給銀行,而銀行要能真正確保顧客不會被挾持,因此金管會從監理高度要求超過兆元資產的銀行與保險公司,都要設立獨立的資安專責部門,而所有銀行業的公司治理也必須轉型,要往數位治理的方向前進,把資安思維深植企業文化 DNA,唯有完善的資安基礎,才能落實金融創新。