安華聯網提出APP與SWIFT CSP合規建議 助力消弭FinTech資安風險

近年全球持續籠罩疫情陰霾，加速了數位化進展，連帶為金融科技（FinTech）挹注催化劑；但它彷若兩面刃，引發更頻繁的駭客攻擊，使資安躍為金融業矚目的議題。

深具金融資訊系統安全查核經歷的安華聯網資安合規處資深資安顧問楊士賢認為，談到FinTech資安課題，舉凡資通安全法合規、金融APP安全檢測、SWIFT CSP合規評估，皆是值得關注的重點。

手機APP資安檢測，範圍已擴及OWASP Checklist L2的項目

楊士賢顧問表示，早年網際網路不發達，金融作業環境處於封閉網路，安全風險相對輕微；反觀今日金融交易，銀行可掌控部份，僅剩下自家後端資料庫和交易系統，前端已被智慧型手機APP取代。主管機關意識到其中的安全疑慮，要求所有金融機構須將APP交由第三方合格實驗室執行檢測，以確保其安全性。合格實驗室會引用行動應用APP基本資安檢測基準為檢測作業依據進行安全檢核。

值得一提，主管機關頒佈的最新版「金融機構提供行動裝置應用程式作業規範」，本次改版重點針對第9條修正，除規範金融機構提供客戶使用之APP每年應接受基本檢測，並對相關應用程式暨伺服器執行源碼掃描或黑箱測試外，還新增要求需通過「OWASP Mobile APP Security Checklist L2」的規定。

該Checklist L2涵蓋8大環節，不同於以往著於重行動應用APP本身的安全為例，在第一項便要求行動應用APP在開發過程需進行架構、設計及威脅建模分析，對於行動應用APP安全要求嚴格程度顯著提升。

顧問表示，金融機構指派窗口人員向實驗室遞交檢測資料時，由於不熟悉「架構、設計及威脅建模分析」內容，對資料提供經常陷入「束手無策」之窘狀。有鑒於此，安華聯網除了提供檢測服務外，亦會藉由顧問團隊進行Threat Modeling分析教學，協助客戶釐清相關疑惑。安全的應用程式開發流程是在撰寫APP前先進行系統分析以釐清安全要求，再依細部規格進行開發；若省略安全分析作業，則MSTG-ARCH-6「行動應用程式和相關遠程服務的威脅模型已經制定，以識別潛在的威脅和對策」，便難以符合。

事實上Thread Modeling相近於傳統結構化分析的資料流程圖Data Flow Diagram, DFD)，唯一差異在於多出「安全周界」。安全周界意指可控、不可控中間的那條線，只要有資料流穿越安全周界，即需分析每一種可能發生的風險，以確保APP相關風險受到關注。

市場上有部分工具可針對行動應用APP執行OWASP Mobile Top 10掃描，但OWASP Mobile Top 10與Checklists L2內容仍有差異，另因法規明定須將APP送交合格實驗室進行檢測，最終需以實驗室出具的檢測合格報告為依據，有程序上的嚴謹性。然而這不代表工具無用，工具仍可作為金融機構內部自行先期自行檢測之用。

依循五步驟，推動SWIFT CSP合規評估作業

SWIFT「客戶安全計畫」（CSP）是一個每年更新的規範，不少金融機構並不清楚如何達到合規要求。

SWIFT是一個國際性的金融協會組織，其系統允許銀行與銀行間相互認證、進行外匯交易、額度風險控管等機制，後續會員型態轉型，允許具有大量跨國交易需求的企業組織也加入會員，方便會員間外匯交易的進行，卻因系統安全漏洞，意外衍生2016年轟動全球的偽冒交易事件。

為提升交易安全，SWIFT於2016事發當年立即公告安全指引、也就是CSP安全框架。初期SWIFT允許各會員自行辦理CSP安全評估，但從2021年起，須由獨立第三方來執行安全評估。換言之，此後SWIFT會員需由第三方評定CSP控制架構（CSCF）的合規成效，自評模式很難再取信於交易對手。

每年7月SWIFT會公布新版新年度的CSCF文件。綜整2020~2022年CSCF當中的必要項目，從21、22逐步增至23個，也開始針對不同資訊系統架構區分要求的項目；因此即便項目數量僅微幅增加，但內容變得更加嚴格。

顧問歸納，如欲進行SWIFT CSP合規評估作業，通常以確認「安全控制範圍」作為第一步；其次是「確認CSCF適用版本」，因SWIFT未強制規定採用最新版，即今年7月公布2023年規範，但仍接受選用2022年甚或2021年版本。第三步為「執行SWIFT CSP安全評估作業」，第三方獨立評估者採用SWIFT制式查核底稿(查檢表)，依該表所列項目逐一進行填寫。待完成細項評估後，即進入第四步「向SWIFT提交CSCF Assessment Completion Letter」。最後，彙整安全評估報告及填寫KYC-SA問卷，最終完成並結案。

總括而論，隨著近年上市櫃公司遭駭事件頻傳，已使多數企業備感壓力，急欲有效盤點安全漏洞、加速掌握防禦趨勢與資安策略，以提高金融交易的安全防護力。為此，安華聯網可憑藉通過多項認證的合格實驗室，協助企業執行FinTech APP、SWIFT CSP等重點業務項目的安全檢測，若有必要還能搭配提供顧問服務，針對各項檢測標準的內涵加以釋疑；期望幫助企業取得國內外證書，也一併優化調整金融交易系統的安全體質。