主页 > Y蕙生活 >一银盗领案 圈内人告白资安漏洞 >

一银盗领案 圈内人告白资安漏洞

一银盗领案 圈内人告白资安漏洞

国内首宗 ATM 遭骇吐钞,虽然主嫌已落网,
但这起案件却将台湾金融资安问题,赤裸裸呈现。

七月十三日,国内爆发首宗银行业遭到国际骇客攻击并得逞的大型犯罪案:第一银行四十一台 ATM,疑似遭到歹徒植入木马程式而中毒,变成「自动吐钞机」,短短两天,被海外犯罪集团轻鬆提领超过八千万元。

当台湾金融科技(Fintech)领域已落后他国,现在又出现此案,若我们只追究犯案者的手法,其实无济于事,而是该深思考,到底台湾金融业者面对资讯安全,是用怎样的层次与角度看待。这次一银事件,为什幺一时之间这幺多钱被提光?问题出在哪?

《商业周刊》专访某位为十几家银行业者担任资安顾问、四大会计师事务所之一的副总经理,透过其第一手告白,看见台湾最真实的金融资安问题。

你去问每家银行「你们的 ATM(在公司内部)主要是归谁管?」「App 又是归谁管?」通常都是跨部门管的。

资安绝对不是只有技术面,而是个结构面的问题,需要跨部门分工和协调,如果只从资讯部检讨是无效的。

比方说,有些银行在新兴科技上的能力不是这幺强,因为银行(既有)的资讯人员,稳定性比较高,所学的都是成熟技术。如果银行要发展 Fintech 只有两种做法:一种是赶快去招募新人,有新的能力,其中包含这些新东西;另一种快速的方法就是委外,(但)一委外,就扯到安全问题。

金融科技的本质就是创新、讲究效率、市场占有率;你追求快,就会忽略了安全。很多银行,尤其是那种很想发展数位金融的,通常(委外时)会问:什幺情况下可以又快、又能管控到风险?

会问这个问题的银行,已经算不错了,大部分银行连这个都不问,只求快,希望手机上可以快点买咖啡、快点付费,至于安不安全、程式怎幺写,其实他们未必有能力去 review(检视)。

我要强调,委外不是错,重点是你给谁做?这有几个问题,第一个就是招标形式,你用什幺形式招标?有没有安全的规格和要求?

就我所接触到的外商银行,做资安这种服务,在委外的过程中,用评选或「最有利标」,价格当然是个参考,但仅仅是参考,而非绝对,美商、英商、日系的都是。反而是台系银行,不管民营或官股都是价格标,牌子翻开后,价格最低的人就得标。

当然,他们不会承认,但你去看现在银行的核心系统检测,招标时都用价格标,安全检测都没有要求,写 App 的话,就是功能正确,赶快交差,让我上线就好了。

这就好像你去做健康检查,五百元你可以出一份报告,五万元也可以出一份报告。以他们的採购机制,他们就是会选五百元的,因为他们的心态一定就是用最简单的,量量身高、体重,抽抽血就够了。

招标时,最清楚(哪个品质好)的就是资讯单位,可是这种需要跨部门的协调,要跨採购、跨业务、跨风控。其他单位的人会说,这和买 ATM、电脑那些硬体不就一样吗?来个价格标不就好了吗?这种节省成本的心态,与资讯安全单位不被重视(有关)。

资安人员,小小小媳妇他们迫于压力开通系统,有心人士就进来了。

在很多银行里面,资讯人员算是小媳妇。最近富邦大董(蔡明忠)不是出来说,我们有一个李相臣(编按:前刑事局侦九队队长,擅长打击网路科技犯罪,现为富邦金控资讯处处长)。大家就会知道说,喔,原来富邦有一个这样的人,人家有像样的 position(地位),这样子没有人敢说李相臣在富邦是个小媳妇吧?

Y蕙生活 353℃ 52评论

一银盗领案 圈内人告白资安漏洞

国内首宗 ATM 遭骇吐钞,虽然主嫌已落网,
但这起案件却将台湾金融资安问题,赤裸裸呈现。

七月十三日,国内爆发首宗银行业遭到国际骇客攻击并得逞的大型犯罪案:第一银行四十一台 ATM,疑似遭到歹徒植入木马程式而中毒,变成「自动吐钞机」,短短两天,被海外犯罪集团轻鬆提领超过八千万元。

当台湾金融科技(Fintech)领域已落后他国,现在又出现此案,若我们只追究犯案者的手法,其实无济于事,而是该深思考,到底台湾金融业者面对资讯安全,是用怎样的层次与角度看待。这次一银事件,为什幺一时之间这幺多钱被提光?问题出在哪?

《商业周刊》专访某位为十几家银行业者担任资安顾问、四大会计师事务所之一的副总经理,透过其第一手告白,看见台湾最真实的金融资安问题。

你去问每家银行「你们的 ATM(在公司内部)主要是归谁管?」「App 又是归谁管?」通常都是跨部门管的。

资安绝对不是只有技术面,而是个结构面的问题,需要跨部门分工和协调,如果只从资讯部检讨是无效的。

比方说,有些银行在新兴科技上的能力不是这幺强,因为银行(既有)的资讯人员,稳定性比较高,所学的都是成熟技术。如果银行要发展 Fintech 只有两种做法:一种是赶快去招募新人,有新的能力,其中包含这些新东西;另一种快速的方法就是委外,(但)一委外,就扯到安全问题。

金融科技的本质就是创新、讲究效率、市场占有率;你追求快,就会忽略了安全。很多银行,尤其是那种很想发展数位金融的,通常(委外时)会问:什幺情况下可以又快、又能管控到风险?

会问这个问题的银行,已经算不错了,大部分银行连这个都不问,只求快,希望手机上可以快点买咖啡、快点付费,至于安不安全、程式怎幺写,其实他们未必有能力去 review(检视)。

我要强调,委外不是错,重点是你给谁做?这有几个问题,第一个就是招标形式,你用什幺形式招标?有没有安全的规格和要求?

就我所接触到的外商银行,做资安这种服务,在委外的过程中,用评选或「最有利标」,价格当然是个参考,但仅仅是参考,而非绝对,美商、英商、日系的都是。反而是台系银行,不管民营或官股都是价格标,牌子翻开后,价格最低的人就得标。

当然,他们不会承认,但你去看现在银行的核心系统检测,招标时都用价格标,安全检测都没有要求,写 App 的话,就是功能正确,赶快交差,让我上线就好了。

这就好像你去做健康检查,五百元你可以出一份报告,五万元也可以出一份报告。以他们的採购机制,他们就是会选五百元的,因为他们的心态一定就是用最简单的,量量身高、体重,抽抽血就够了。

招标时,最清楚(哪个品质好)的就是资讯单位,可是这种需要跨部门的协调,要跨採购、跨业务、跨风控。其他单位的人会说,这和买 ATM、电脑那些硬体不就一样吗?来个价格标不就好了吗?这种节省成本的心态,与资讯安全单位不被重视(有关)。

资安人员,小小小媳妇他们迫于压力开通系统,有心人士就进来了。

在很多银行里面,资讯人员算是小媳妇。最近富邦大董(蔡明忠)不是出来说,我们有一个李相臣(编按:前刑事局侦九队队长,擅长打击网路科技犯罪,现为富邦金控资讯处处长)。大家就会知道说,喔,原来富邦有一个这样的人,人家有像样的 position(地位),这样子没有人敢说李相臣在富邦是个小媳妇吧?

热门产品