過去,銀行搶案需要蒙面、持槍與逃亡車輛,而如今,在網路上,僅需一台筆電就能遠程癱瘓銀行系統。台北富邦商業銀行(下稱北富銀)資深協理林世哲表示,北富銀現在有 9 成客戶都優先使用行動銀行及網路銀行,「過去系統當機個幾分鐘,客戶可能會覺得沒什麼,但現在用戶都在網路銀行、手機行動銀行 App 交易,當個幾秒都不行,會被放大檢視。」
用「預防」取代「圍堵」,發現可疑帳號,立刻採取行動
如果系統被入侵或當機,輕則讓客戶感到不便、對銀行產生抱怨;重則引發對資金安全的恐慌,導致信任崩潰。「銀行內部控制共有 3 道防線,資訊是第一道,其次是資安、風管,第三則是稽核。」林世哲認為,要抵禦外在威脅,必須在資訊這關就盡可能攔截所有問題。
林世哲指出,傳統資安防禦主要是在外部設防,如防火牆、入侵偵測系統等措施,就像預防病毒入侵而戴口罩。如果系統有漏洞,目標通常會是獲取高階權限,伺機竊取資料或癱瘓系統。
由於系統維運和程式修改都需要頻繁使用高權限密碼,這些敏感資訊若管理不善,容易成為攻擊的突破口。為此,開發一套「智能特權治理系統」,集中管理數千台伺服器的特權密碼。若需要使用權限帳號,系統會自動化派發密碼,隔日再自動變更。
這套系統會蒐集大量帳號及密碼,每天比對原生系統的最高權限帳號,「過去資安系統側重圍堵而非預防,我們則採用預警機制,就像人體白血球的免疫系統。」當免疫系統發現問題時,白血球會迅速出動,鎖定並摧毀威脅。同理,若系統發現有未經授權新帳號,就會立刻警示。
導入資訊科技治理制度,無痛整併日盛金
林世哲解釋,金融業是受高度監管的行業,資訊服務的穩定性和可用性是命脈,任何系統中斷都可能導致客戶損失和商譽受損。有鑑於此,他導入國際標準的資訊科技治理制度(COBIT,control objectives for information and related technologies),以此為基礎導入多項資訊安全制度與標準。隨著資訊部門規模逐漸擴大,這套框架能有效規範人員行為,便於管理。此外,面對日益頻繁的資安威脅,因為有標準化的治理程序,能協助企業迅速應對風險。
為落實資訊治理,也根據 COBIT 陸續打好地基做各式專案,包含銀行常用的開源系統主動偵測潛藏風險、把軟體開發的流程(需求溝通、測試、上線)整合到一個系統中,並自動檢測安全漏洞、透過國際標準的測試方法和自動化工具,幫助北富銀提升軟體測試的品質和效率,以及戰情儀表板等 5 大系統。
養兵千日用在一時,2021 年北富銀迎來期中考,當時北富銀要整併日盛金融控股,整併案素來是銀行頭痛的課題,除了業務整合,還會考驗資訊系統是否能順利銜接。林世哲擔綱專案管理辦公室要角(PMO Head),他解釋,行動銀行在高峰期平均每秒有上萬個用戶,「全方位資訊服務預警暨智能戰情系統」會監控輿情、上線人數、銀行客服、臨櫃等待時間等,如果有異常,例如上線人數超過平常數量,就會示警。
在整併初期,團隊盯著儀表檢查上線人數是否異常超過、客服與臨櫃等待時間,「因為資訊系統間錯綜複雜,前幾分鐘可能影響的是存款系統,但不知道後幾分鐘又會引發什麼系統問題。」團隊歷時 500 多天、6000 多場會議,最終無痛完成整併,增加了 85 萬用戶,為民營銀行之冠。
過去資安系統側重圍堵而非預防,我們則採用預警機制,就像人體白血球的免疫系統。
