吳明宜安侯企管 (KPMG) 公司經理林大馗指出,雲端、行動等新科技的出現,促使銀行積極擁抱金融科技,推出網路金融、行動銀行、數位錢包、社群媒體銀行等新的服務模式。然而這也讓銀行業面臨新的安全危機。根據調查,42% 的銀行發生過雲端服務資料外洩,45% 的銀行應適應行動化而造成系統漏洞。
金融業 SWIFT 威脅愈烈 完善風險管理計畫為要
去年第一銀行遭到歹徒以惡意程式入侵網路,最後從 ATM 盜領超過台幣 8,000 萬,今年初孟加拉央行 SWIFT 國際匯款網路遭駭,一度轉走 10 億元,最後損失 8,100 萬美元。隨後 WannaCry 勒贖蠕蟲癱患全球百萬台電腦,今年 9 月美國信用卡消費者評等業者 Equifax 網站漏洞被入侵,20 萬筆用戶個資外洩。未來 3 年內金融業面臨的數位風險及相關的法規風險有增無減。國家贊助的駭客攻擊、組織化的金融犯罪、潛在利益對行員或合作夥伴形成道德考驗,各國法規之監管要求也更嚴格,像是「金融服務業網路安全要求規範」(23 NYCRR Part 500) 、反洗錢帳戶查核 (AML) 及香港防衛計畫,也迫使銀行必須繃緊神經。
現在入侵金融業的駭客行動已經愈來愈縝密而系統化。他們可能利用社交工程、零時差弱點、水坑攻擊或鍵盤側錄手法入侵銀行行員電腦或伺服器並長期潛伏在系統內以探查銀行的作業流程,然後利用病毒或勒贖軟體作亂,以聲東擊西、混淆調查方向。惡意程式並能設計情境發動攻擊,達到資料竊取、偽冒交易,或其他攻擊行動。而之後還會湮滅蹤跡及消除紀錄以躲避調查。
自孟加拉銀行發生 SWIFT 網路入侵之後,現今國際間金融業都在積極強化 SWIFT 安全性。而國內也有相應進展,像是 SWIFT 提供 CSP(客戶安全強化方案),而數家本地銀行也將 SWIFT 列為今年風險管理熱區,而且各銀行也提交了 SWIFT CSP 的評估及強化計畫。但到了 10 月還是發生了遠東商銀的 SWIFT 網路盜轉事件。林大馗解釋,SWIFT 採用開放式系統架構、可直接轉帳、且 SWIFT 網路交易可設斷點不易查出,一旦得手金額卻很大,加上銀行界對 SWIFT 以為它是封閉網路而疏於防範或是不熟操作,都讓 SWIFT 成為駭客最新的下手目標。
他呼籲金融業在建立資安防護時,應確保 4K 事件教訓 (know your lesson learned):包括瞭解自己的業務流程 (business process) 、系統 (systems) 、網路 (networks) 及解可能的安全風險 (risks),並據此建立完善的風險管理計畫。
以單一使用者匯款為例,過程涵括 SWIFT 端末操作區、主機作業區、閘道區和交易網路,應分別找出當中可能的作業風險(如大筆匯款未落實人工覆核、共用帳號、或未做好客戶與 AML 黑名單比對)、系統風險(如未做好用戶存取控制及明碼傳遞交易訊息時,可能遭駭客發動偽冒交易)及網路風險(如未做好 SWIFT 網路與其他網路的分割,導致 SWIFT 網路遭感染)。
林大馗並建議金融業應從自身錯誤、重大資安事件及 SWIFT 客戶安全計畫 (CSP) 記取教訓。 SWIFT CSP 包含 8 大原則與 27 項控制,以滿足保護環境安全、認知與限制存取、以及偵測與回應三大目標。台灣金管會也在遠銀事件之後新增 4 大要求,包括網域隔離、網路實體隔離、透過操作室存取,以及建議以雙因素認識確保遠端存取。 KPMG 則提供 SWIFT 風險控管九大重點策略,作為 SWIFT 安全管理框架。