銀行公會技術組組長李嘉銘表示,從一銀事件後,金管會相當重視ATM的安全性,銀行公會也提出8大防護措施以提升ATM的安全。

圖片來源: 

臺灣BSI

臺灣在今年7月發生第一銀行ATM盜領案件,盜領金額高達8,000多萬元。這起ATM盜領事件大幅衝擊臺灣金融業者對於ATM安全的認知,原本以為屬於封閉網路的ATM是相對開放網路安全的思維,已經失效。

對此,中華民國銀行公會金融業務電子化委員會技術分組組長李嘉銘表示,銀行公會先前也針對一銀事件造成的資安漏洞進行討論,金管會也在9月提出「金融機構辦理電腦系統資訊安全評估辦法」。對此,銀行公會也有8項應對措施,預計在年底提出第二波ATM防護策略,希望增加更嚴謹的評估辦法和防護機制,加強ATM系統的安全性。

金管會要求銀行業者應該更重視ATM的安全性,對此,銀行公會也提出8項資安防護措施,其中有一項則是銀行業者應該針對ATM進行攻防演練,預計在年底前完成。(圖片來源/iThome)

從一銀事件找出銀行內部資安脆弱環節

李嘉銘表示,從一銀的盜領事件可以發現,網路犯罪集團入侵一銀內網有幾個脆弱環節,如果可以強化相關的弱點,都有助於增加ATM的安全性。而相關的弱點環節也多是內部系統控制的因素,包括:電話錄音主機可連線至網路、電話錄音主機有資安弱點、第一銀行所使用Wincor廠牌ATM和NCR派送伺服器有資安弱點、電話錄音主機可以Telnet連線至ATM、ATM能FTP服務連線至NCR派送伺服器,以及ATM可以安裝任意程式。

如何改善這些脆弱環節呢?李嘉銘表示,銀行工會針對這些弱點提出8項ATM自動櫃員機安全防護指標,分別是:架構區隔、開發測試、交付派版、存取限制、監控警示、汰換計畫以及攻防演練,以及交由稽核單位追蹤複查等8個方式。

首先,李嘉銘說:「銀行必須要做到架構區隔,確保海外的電腦是不能直接連到ATM系統。」目前,主管機關要求銀行必須落實網路實體隔離政策,區隔辦公室OA網路環境和ATM系統網路環境必須完全切割,並且做到實體隔離。

其次,銀行業有許多的委外開發,為了要確保廠商所交付的程式碼是安全的,包含圖片或是多媒體檔案等,都沒有隱藏的惡意程式,對於廠商交付相關的程式碼進行開發測試是必要的。

再者,當程式碼確認是安全後,為了避免程式上版時出狀況,李嘉銘表示,必須同時要有兩個人以上,確保這次上版的程式的確是原本應該要上版的內容,沒有遭到私下置換錯上錯版本,也應該針對派送的內容逐一交叉比對的檢視。

第四,銀行業者必須針對所有的系統,進行更嚴格的存取限制,以防範其他人可以私下存取ATM內部資料。

第五,每臺ATM要必須要有即時監視的監控警示系統,也就是說,當有人走進ATM自動櫃員範圍內時,環控系統的攝影機與ATM前的攝影機就可以即時攝影,將進入ATM範圍的人的影像,即時傳送到銀行的中控室。一旦發生竊盜或是出現ATM異常狀況時,以便銀行在第一時間提供嫌疑人照片和影像給檢警調單位做調查。

第六,根據銀行公會的ATM安全防護建議,銀行應該要定期的舊款ATM設備汰換計畫,以確保ATM的安全性。

第七,ATM系統要確實執行攻防演練。很多資安專家都和銀行業者有相關的討論,如何從內部的系統連線到ATM系統,在這個過程中,找出內部系統和ATM系統之間的漏洞,並建立相關的防禦機制。預計今年底,所有銀行都要完成相關的演練。

最後,公會也建議,銀行要將這些指標交付給稽核單位進行追蹤複查,希望可以建立一套持續性的監控防護措施。

 相關報導  一銀ATM遭駭事件大剖析

 


Advertisement

更多 iThome相關內容