微軟XP終止支援引發ATM安全疑慮

國外ATM廠商NCR（安迅）針對全球超過300萬臺，使用將於今年4月8日終止延伸支援XP作業系統的ATM產品發出資安警告，對臺灣銀行業者而言，多數ATM仍採用微軟XP作業系統，因主管機關控管嚴格，ATM採封閉網路架構，降低駭客透過網路入侵風險。

ATM使用較安全的封閉網路，減少連網風險
目前臺灣銀行業者ATM採用Windows XP Professional（簡稱XP）和Windows XP Professional Embedded（簡稱嵌入式XP）作業系統，微軟對前者終止延伸支援的日期為今年4月8日，並將微軟防毒延伸到明年7月14日；對後者終止延伸支援日期為2016年1月12日。一旦微軟終止延伸支援，該項產品將無法進行漏洞修補，因此，目前有急迫升級需求的是使用XP的ATM。而臺灣銀行業者在2013年以前採購的ATM，幾乎都是XP版本。

隨著微軟定期資安通報，第一銀行在半年前就已經開始評估，XP終止支援對ATM帶來的資安風險。不過，第一銀行通路系統開發部經理謝秀真表示，雖然XP會因為終止支援無法修補軟體漏洞，但因為臺灣ATM多使用封閉的網路環境，大幅降低駭客透過網際網路入侵ATM的風險。

謝秀真說，第一銀行ATM仍使用封閉SNA（Systems Network Architecture）網路架構，ATM直接透過SNA和後端帳務及客戶餘額主機連線，不僅網路傳輸時加密，也使用3DES與後端銀行主機做加密。此外，也有ATM業者透過安裝防毒軟體，強化其安全性。

以ATM硬體汰換取代軟體升級
謝秀真表示，第一銀行ATM設備平均使用年限為7～10年，無法軟體升級的ATM，以硬體汰換取代軟體升級。ATM設備商NCR臺灣及香港區總經理區萬康指出，針對使用終止支援作業系統的銀行業者，參考由信用卡公司提供的PCI規範。首先，建議使用終止支援作業系統的ATM設備，只允許白名單的應用連線，確保系統的完整性；其次，雖然不限時間，銀行必須要有清楚的、合理的設備或產品升級計畫，以ATM使用工業主機通常可以耐用7～10年，超過10年不汰換，就是一個不合理的升級計畫。

區萬康表示，新的ATM若要軟體升級，必須由專人到現場，拿著光碟重新安裝新的作業系統，即便該公司可以在3個月內完成ATM升級計畫，但實際軟體升級時，依照升級的數量，則需要耗費數個月以上的時間。

金管會銀行局副局長張國銘表示，主管機關對於銀行只提供原則性的資安準則，對於ATM使用終止支援的作業系統的因應措施，銀行局尊重各家銀行的商業決策。但他強調，包括ATM和跨行通匯系統是銀行局認定的銀行重要核心系統之一，會定期稽核其安全性。銀行必須落實相關的安全防護，才不致於受罰。文⊙黃彥棻