主页 > E妙生活 >一银盗领案,圈内人告白资安漏洞 >

一银盗领案,圈内人告白资安漏洞

一银盗领案,圈内人告白资安漏洞

7 月 13 日,国内爆发首宗银行业遭到国际骇客攻击并得逞的大型犯罪案:第一银行 41 台 ATM,疑似遭到歹徒植入木马程式而中毒,变成「自动吐钞机」,短短 2 天,被海外犯罪集团轻鬆提领超过 8 千万元。

当台湾金融科技领域已落后他国,现在又出现此案,若我们只追究犯案者的手法,其实无济于事,而是该深思考,到底台湾金融业者面对资讯安全,是用怎样的层次与角度看待。

这次一银事件,为什幺一时间这幺多钱被提光?问题出在哪?

《商业周刊》专访某位为十几家银行业者担任资安顾问、四大会计师事务所之一的副总经理,透过其第一手告白,看见台湾最真实的金融资安问题。

抢市占率,求快: 可以快点上线就好,连风险控管都不问。

你去问每家银行「你们的 ATM 主要是归谁管?」「App 又是归谁管?」通常都是跨部门管的。

资安绝不是只有技术面,而是结构面问题,需要跨部门分工和协调。

比方说,有些银行在新兴科技上的能力不是这幺强,因银行资讯人员,稳定性比较高,所学的都是成熟技术。若银行要发展 Fintech 只有 2 种做法:一种是赶快去招募新人,有新的能力,其中包含这些新东西;另一种快速方法就是委外,但一委外,就扯到安全问题。

通常委外时会问:什幺情况下可以又快、又能管控到风险?大部分银行连这个都不问,只求快,至于安不安全、程式怎幺写,其实他们未必有能力去检视。

委外招商,求便宜:价格最低的人就得标,安全检测都没要求。

我要强调,委外不是错,重点是你给谁做?这有几个问题,第一个就是招标形式,你用什幺形式招标?有没有安全的规格和要求?

你去看现在银行的核心系统检测,招标时都用价格标,安全检测都没有要求,写 App 的话,就是功能正确,赶快交差,让我上线就好了。

招标时,最清楚哪个品质好的就是资讯单位,可是这种需要跨部门的协调。其他单位的人会说,这和买 ATM、电脑那些硬体不就一样吗?来个价格标不就好了吗?这种节省成本的心态,与资讯安全单位不被重视有关。

资安人员,小小小媳妇:他们迫于压力开通系统,有心人士就进来了。

在很多银行里面,资讯人员算是小媳妇。他们面临那个业务单位的压力是,「你这个不开通,那个也不通,我们的某某业务、外汇业务,和分行的连线都不能做,你就全部把我开通啦。」资讯人员迫于这种压力,就把对外宣称是「封闭式系统」的东西开通,有心人士就可以进来了。

我们和一些银行的资安承办人员见面,他们真的很委屈。问题是,他之前的提醒,有没有被业务单位採纳?当初大家如果是同等地位的对话,会这样吗?

经过一银这件事情后 ,开始有银行在意:像资安的权责该由谁负责?

一银这件事对台湾发展 Fintech 而言,是一个反省的好机会。之前讲 Fintech 都在谈技术、业务,甚至是速度,这段时间大家更能想想风险的问题。

这件事对台湾是转机还是危机?这回到另一个问题:决策者的心态是什幺?如果是保守、消极,那对于推动 Fintech 就是危机。

未来积极发展新兴科技,对于资讯安全的管理也都正面迎战,如果说到也有做到,当然就是转机。

《》

金管会提出十大 Fintech 计画,为何金融科技业者却觉得身中十只箭?

E妙生活 715℃ 54评论
一银盗领案,圈内人告白资安漏洞

7 月 13 日,国内爆发首宗银行业遭到国际骇客攻击并得逞的大型犯罪案:第一银行 41 台 ATM,疑似遭到歹徒植入木马程式而中毒,变成「自动吐钞机」,短短 2 天,被海外犯罪集团轻鬆提领超过 8 千万元。

当台湾金融科技领域已落后他国,现在又出现此案,若我们只追究犯案者的手法,其实无济于事,而是该深思考,到底台湾金融业者面对资讯安全,是用怎样的层次与角度看待。

这次一银事件,为什幺一时间这幺多钱被提光?问题出在哪?

《商业周刊》专访某位为十几家银行业者担任资安顾问、四大会计师事务所之一的副总经理,透过其第一手告白,看见台湾最真实的金融资安问题。

抢市占率,求快: 可以快点上线就好,连风险控管都不问。

你去问每家银行「你们的 ATM 主要是归谁管?」「App 又是归谁管?」通常都是跨部门管的。

资安绝不是只有技术面,而是结构面问题,需要跨部门分工和协调。

比方说,有些银行在新兴科技上的能力不是这幺强,因银行资讯人员,稳定性比较高,所学的都是成熟技术。若银行要发展 Fintech 只有 2 种做法:一种是赶快去招募新人,有新的能力,其中包含这些新东西;另一种快速方法就是委外,但一委外,就扯到安全问题。

通常委外时会问:什幺情况下可以又快、又能管控到风险?大部分银行连这个都不问,只求快,至于安不安全、程式怎幺写,其实他们未必有能力去检视。

委外招商,求便宜:价格最低的人就得标,安全检测都没要求。

我要强调,委外不是错,重点是你给谁做?这有几个问题,第一个就是招标形式,你用什幺形式招标?有没有安全的规格和要求?

你去看现在银行的核心系统检测,招标时都用价格标,安全检测都没有要求,写 App 的话,就是功能正确,赶快交差,让我上线就好了。

招标时,最清楚哪个品质好的就是资讯单位,可是这种需要跨部门的协调。其他单位的人会说,这和买 ATM、电脑那些硬体不就一样吗?来个价格标不就好了吗?这种节省成本的心态,与资讯安全单位不被重视有关。

资安人员,小小小媳妇:他们迫于压力开通系统,有心人士就进来了。

在很多银行里面,资讯人员算是小媳妇。他们面临那个业务单位的压力是,「你这个不开通,那个也不通,我们的某某业务、外汇业务,和分行的连线都不能做,你就全部把我开通啦。」资讯人员迫于这种压力,就把对外宣称是「封闭式系统」的东西开通,有心人士就可以进来了。

我们和一些银行的资安承办人员见面,他们真的很委屈。问题是,他之前的提醒,有没有被业务单位採纳?当初大家如果是同等地位的对话,会这样吗?

经过一银这件事情后 ,开始有银行在意:像资安的权责该由谁负责?

一银这件事对台湾发展 Fintech 而言,是一个反省的好机会。之前讲 Fintech 都在谈技术、业务,甚至是速度,这段时间大家更能想想风险的问题。

这件事对台湾是转机还是危机?这回到另一个问题:决策者的心态是什幺?如果是保守、消极,那对于推动 Fintech 就是危机。

未来积极发展新兴科技,对于资讯安全的管理也都正面迎战,如果说到也有做到,当然就是转机。

《》

金管会提出十大 Fintech 计画,为何金融科技业者却觉得身中十只箭?

热门产品