採訪.撰文 盧廷羲
駭客風暴帶來的教訓:北富銀善用瀑布式管理與敏捷導入,高效開發智能資安系統
第一銀行在 2016 年發生 ATM 盜領案件,駭客滲透銀行內網,使 41 台 ATM,自動吐鈔 8000 多萬元,促使各家銀行積極加強資安系統。在駭客的攻擊模式中,最常見的手法之一是,運用特權帳號(具有變更或管理系統的高權限帳號)發動攻擊。因此,台北富邦銀行 2021 年推出「智能防駭特權治理系統」,主動偵測幽靈帳號,防止駭客使用特權帳號。
台北富邦銀行資訊長蕭明輝指出,以往銀行的資安系統著重在「圍堵」,也就是駭客發動攻擊時再因應,但往往跟不上駭客速度,造成損失。新系統採用「預警」機制,系統每天都會把全行即時的特權帳號,主動與列管帳號比對,揪出幽靈帳號。這項系統,獲得《哈佛商業評論》卓越營運轉型楷模獎、2021 專案管理大獎(PTGA)的標竿專案獎等 9 大獎項,並通過經濟部智產局的發明專利。
帳號治理系統導入全銀行,專案範疇涉及 500 名人員
過去,北富銀的特權帳號管理採人工處理,高管需要時,向資安人員申請後,取得帳密,但這樣的作業方式,一次就要 40 分鐘左右,相當耗時。現行的「智能防駭特權治理系統」則交由系統自動化處理,只要 5 分鐘就能交付帳密。
這個歷時 3 年的專案,難度在於,總共須涉及 500 多位 IT 人員一起參與。資訊服務營管部資深協理林世哲說,北富銀全行的資訊系統營運環境主機的特權帳號有 6000 多個,牽涉到 2000 多台伺服器上的多種作業系統、資料庫系統,以及應用系統。
各部門的 IT 人員,要把這套系統整合進各個伺服器上,確保軟體可以跑得順暢、沒有錯誤(bug)。「好比 Windows 系統,就有 11、10,甚至還有更古老的版本,就得確保新的系統可以套用在這些版本中。」林世哲說。
如何管理規模如此大、範圍如此廣的專案?北富銀採取混合式(hybrid)管理,依照專案需求選用瀑布式(waterfall)或敏捷式(agile)專案流程。
北富銀在 2006 年執行組織改造,成立專案管理專責單位,制定專案管理 SOP,並設立計畫管理辦公室,業務主管、資訊主管,組成業務決策小組及架構決策小組,監控計畫及專案執行是否符合目標。過程中,他們也會討論,哪邊要使用瀑布式、哪部分使用敏捷式專案管理。
將大專案拆分成小任務,評估用瀑布式或敏捷式管理
「通常涉及到客戶體驗,我們會採用敏捷式的執行方法。」蕭明輝說,在智能防駭系統的「警示」部分,就採用敏捷專案管理及開發,因應需求、滾動式調整防駭功能。
另一方面,蕭明輝說,瀑布式講求需求、設計、開發、測試、維運,每個階段絕對不能出錯,驗證完,才執行下一步,整體時間相對長。例如,防駭特權治理系統開發完成後,必須配合 IT 人員,依計畫時程進行,把防駭特權治理系統套用在各伺服器上。
對銀行來說,瀑布式的價值在於,「我們沒有容錯空間,你網銀當掉 5 分鐘,就不得了了。」
蕭明輝指出,使用瀑布式流程,專案初期,就明確定義範疇、時程、成本、資源與辨識風險。好處在於,每個成員都知道,什麼時候該做什麼,且容易估算專案成本和進度。
「專案管理的方法,沒有最好的,只有最適合的。」蕭明輝總結,往後他們會繼續因應市場快速變化、消費者需求持續演化,整合瀑布式、敏捷式的專案管理,創造優勢。
蕭明輝
台灣大學土木工程學系畢業,曾任台北富邦銀行資訊服務總處副總處長、法金資訊部主管、系統開發一部主管、作業管理部主管。現為北富銀資訊長。
