東吳法律系李相臣教授：金融業的資安防範須多關注歐洲的網路動向

（本文為 2018 網路資訊「無邊界網路安全研討會」台北場之會後報導）

「金融機構由於監管繁瑣，不容易找到卓越的資安技術人才。」東吳大學法律系兼任助理教授李相臣陳述金融業現況，卓越的人才多不願被繁複的組織規章所約束，有些甚可能轉為駭客，並把攻擊目標指向有經濟利益的金融機構。

資安威脅也確實日益嚴重，許多金融業因方案昂貴多尚未導入行動裝置管理 (MDM)，但手機造成的資安洩漏已日益嚴重，Google 近期把一個藏有木馬程式的 App 自 Google Play 下架，但下架前已被下載 60 萬次，而紀錄片《手機不設防》也顯示今日行動裝置普及所帶來的資安嚴重性。資安日益嚴重的另一例是第一金資安事件，犯行者僅 23 歲，學歷高職畢業，已可發動 DDoS 攻擊並勒贖比特幣，顯見資安犯罪日漸容易。

資訊取得也比過往更加容易，李相臣甚至跟自己女兒說：「這個時代沒有緣份只有木馬（程式）。」別以為妳與某個男生很有緣，妳很可能被追求者蓄意收集完整資訊而刻意營造出緣份際遇。也由於資訊產生與收集的多元化，傳統的 KYC(Know Your Customer) 定義也在改變中。

資安風險日增，但資安威脅也有地域性差異，李相臣分享其觀察，亞洲的駭客集團對政府較有（攻擊）興趣，美國駭客則對個人隱私較有興趣，歐洲則是對金融單為較有興趣。由此可知金融業的資安防範須多關注歐洲的網路動向，甚至攻擊所用的惡意程式也多以歐洲風格命名。

近期資安威脅的另一個特點是傾向在單位機構放長假前發動攻擊，攻擊前則潛伏不動，企業對此也必多加留意。資安威脅不僅攻其不備還常出奇不意，今日多數人已習慣掃描 QR Code，但 QR Code 也是能潛藏木馬程式的，或者有愈來愈多非電腦設備也開始連網，如視訊監視器，也有可能成為資安漏洞或跳板。

李相臣也提醒，通過資安標準並不等於做足資安，資安是沒有 100% 保障的。另一個提醒是企業不可過度信任資安委外，資安委外有可能「報喜不報憂」，企業依然要保持警惕防範之心，並有一套監督委外機構的方法。

此外企業平時也當分析已阻絕隔離的垃圾郵件，其中夾雜單純廣告信件與惡意程式信件，廣告信件可直接丟棄，但惡意程式信件當加以分析，了解其特性後再加強防範，而不是成功阻絕隔離後就鬆懈防備。

進一步的，企業也當善用大數據 (big data) 分析技術在資安領域，雖然大數據分析可應用在各種層面，如市場調查、醫療研究等，但李相臣認為用於資安防護是目前最有效益的。

最後，雖然資安防護很重要，但也不可忽略創新，然創新與管制兩者經常是相左的，管制多容易阻礙創新，創新多則容易有安全顧慮，企業須在兩者間求取均衡或加以取捨才行。