陳宛綺金融單位因為握有極為龐大的個人資料量,因此一直是駭客眼中的大肥羊,如何避免網頁攻擊,防止資料外洩,是近來金融產業最重視的課題。
此次《網路資訊雜誌》特別邀請了多家大型金融單位的資訊長,包括上海銀行資訊處協理羅安昌、台灣彩券資訊管理處處長方振維、金鼎證券集團資訊長謝守忠、國泰世華銀行資訊長章光祖、華泰商業銀行資訊部協理/部最高主管李堆輝、匯豐銀行資深副總裁陳聰尹,分享他們的經驗;此外,還邀請了 F5 Networks 資深業務經理張岳博,以及 M86 大中華區業務總監林鴻源兩大資安廠商,就相關議題,提供技術方面的建議。
本文目錄
新版個資法的挑戰
在餐會一開始,《網路資訊雜誌》總編輯謝至恩表示,資料外洩與網頁攻擊目前是金融單位 IT 部門最頭疼的兩大問題,特別是新版個人資料保護法(以下簡稱個資法)即將通過,正考驗著金融 IT 人。另一位主持人銀行公會資安小組范姜群暐就針對即將通過個資法的進行重點整理。
范姜群暐指出,新版的個資法擴大保護個體,將非經電腦處理的個人資料也一併納入保護,也擴大了適用的主體,從原本的 8 大行業擴大到 10 種行業,並擴大了企業組織的行為義務,一旦發現資料外洩或被竊取,資料持有者應該要以適當的方式通知當事人。另外還增加了提訟的單位,包括政府與民間皆可,也明訂了當資料外洩時,企業組織所應該負擔的民事、刑
事與行政責任,其中,更提高了民事損害賠償總額。換句話說,日後一旦發生資料外洩的事情,企業組織賠上的不再只有商譽,還有龐大的罰金。
國泰世華銀行資訊長章光祖表示,目前金融單位所遇到最大的困擾是,資安防護是無法做到 100% 的,儘管花了大量的成本可以做到 90% 的防護,但很快地,防禦能力就會下降到 70%,到時又必須要再投資,因此除了依靠資安設備與政策配合之外,最重要的還是要對員工進行資安教育。
從嚴控管
上海銀行資訊處協理羅安昌表示,資訊安全人人有責其實大家都知道,也針對掌握機密資料,具有較高權限的使用者進行教育宣導,但是最終仍是要靠 IT 部門想辦法進行阻擋與防堵。為防止大批資料外洩,上海銀行的做法是將員工能夠查詢的頁面單純化,讓他/她們所能看到有限的資料;此外,傳輸的資料都會進行加密,可以降低資料外洩的風險。不過羅安昌認為,面對現在網站攻擊事件頻傳,要防止真的很辛苦,因為資訊部門是能用「一般的」心態去對抗「專家級」的攻擊手法。
台灣彩券資訊管理處處長方振維則表示,資訊安全的內部宣導工作是很重要的,雖然有些人認為無用,但是由於資料外洩的管道實在太多,有洞就要盡力防堵起來。而台灣彩券的做法除了進行資料分級與宣導之外,另外也採用了最根本的做法,即是針對資料/文件/檔案進行加密。
匯豐銀行資深副總裁陳聰尹表示,自己對於網路攻擊其實並沒有那麼擔心,因為隨時都有人在進行監控,若有問題,很快就有人會處理解決;但是,機密資料通常都是在不知不覺當中遺失的,因此做好內部控管相當重要。匯豐銀行的做法是將資料保護的工作責任,放在資訊擁有者身上,因此要採用哪些資安政策與控管做法的工作,並不是在 IT 部門身上,因此在實施與推動上較容易,反彈不大,且一切流程都可以依照標準化流程進行。
華泰商業銀行資訊部協理/部最高主管李堆輝表示,該公司的做法與匯豐銀行接近,都是傾向嚴格的管控法,例如不得攜帶筆記型電腦進入公司等,且所有資料要外送前都必須要經過主管的層層把關,雖然如此的做法會導致工作效率降低,但是站在華泰商業銀行的角度,是以「安全」為第一,「效率」成為其次的考量點。
(…未完,更多精采內容請參閱網路資訊雜誌 217 期 12 月號)