駭客風暴帶來的教訓：北富銀善用瀑布式管理與敏捷導入，高效開發智能資安系統

第一銀行在 2016 年發生 ATM 盜領案件，駭客滲透銀行內網，使 41 台 ATM，自動吐鈔 8000 多萬元，促使各家銀行積極加強資安系統。在駭客的攻擊模式中，最常見的手法之一是，運用特權帳號（具有變更或管理系統的高權限帳號）發動攻擊。因此，台北富邦銀行 2021 年推出「智能防駭特權治理系統」，主動偵測幽靈帳號，防止駭客使用特權帳號。

台北富邦銀行資訊長蕭明輝指出，以往銀行的資安系統著重在「圍堵」，也就是駭客發動攻擊時再因應，但往往跟不上駭客速度，造成損失。新系統採用「預警」機制，系統每天都會把全行即時的特權帳號，主動與列管帳號比對，揪出幽靈帳號。這項系統，獲得《哈佛商業評論》卓越營運轉型楷模獎、2021 專案管理大獎（PTGA）的標竿專案獎等 9 大獎項，並通過經濟部智產局的發明專利。

帳號治理系統導入全銀行，專案範疇涉及 500 名人員

過去，北富銀的特權帳號管理採人工處理，高管需要時，向資安人員申請後，取得帳密，但這樣的作業方式，一次就要 40 分鐘左右，相當耗時。現行的「智能防駭特權治理系統」則交由系統自動化處理，只要 5 分鐘就能交付帳密。

這個歷時 3 年的專案，難度在於，總共須涉及 500 多位 IT 人員一起參與。資訊服務營管部資深協理林世哲說，北富銀全行的資訊系統營運環境主機的特權帳號有 6000 多個，牽涉到 2000 多台伺服器上的多種作業系統、資料庫系統，以及應用系統。

各部門的 IT 人員，要把這套系統整合進各個伺服器上，確保軟體可以跑得順暢、沒有錯誤（bug）。「好比 Windows 系統，就有 11、10，甚至還有更古老的版本，就得確保新的系統可以套用在這些版本中。」林世哲說。

如何管理規模如此大、範圍如此廣的專案？北富銀採取混合式（hybrid）管理，依照專案需求選用瀑布式（waterfall）或敏捷式（agile）專案流程。

北富銀在 2006 年執行組織改造，成立專案管理專責單位，制定專案管理 SOP，並設立計畫管理辦公室，業務主管、資訊主管，組成業務決策小組及架構決策小組，監控計畫及專案執行是否符合目標。過程中，他們也會討論，哪邊要使用瀑布式、哪部分使用敏捷式專案管理。

將大專案拆分成小任務，評估用瀑布式或敏捷式管理

「通常涉及到客戶體驗，我們會採用敏捷式的執行方法。」蕭明輝說，在智能防駭系統的「警示」部分，就採用敏捷專案管理及開發，因應需求、滾動式調整防駭功能。

另一方面，蕭明輝說，瀑布式講求需求、設計、開發、測試、維運，每個階段絕對不能出錯，驗證完，才執行下一步，整體時間相對長。例如，防駭特權治理系統開發完成後，必須配合 IT 人員，依計畫時程進行，把防駭特權治理系統套用在各伺服器上。

對銀行來說，瀑布式的價值在於，「我們沒有容錯空間，你網銀當掉 5 分鐘，就不得了了。」

蕭明輝指出，使用瀑布式流程，專案初期，就明確定義範疇、時程、成本、資源與辨識風險。好處在於，每個成員都知道，什麼時候該做什麼，且容易估算專案成本和進度。

「專案管理的方法，沒有最好的，只有最適合的。」蕭明輝總結，往後他們會繼續因應市場快速變化、消費者需求持續演化，整合瀑布式、敏捷式的專案管理，創造優勢。

蕭明輝

台灣大學土木工程學系畢業，曾任台北富邦銀行資訊服務總處副總處長、法金資訊部主管、系統開發一部主管、作業管理部主管。現為北富銀資訊長。