由左至右依序為,玉山銀行暨玉山金控資訊長謝萬禮、第一銀行資訊長劉培文、將來銀行籌備處策略長吳建頤、台北富邦銀行數位金融顧問李維斌、台新金控資訊長孫一仕。

在2019臺灣資安大會的一場金融安全論壇,金管會主委顧立雄親自開場致詞,金管會副主委黃天牧也揭露金管會金融政策中,與資安防禦相關的四大金融資安監理作為

不只金融業主管機關對資安重視,金融業者包括玉山銀行暨玉山金控資訊長謝萬禮、第一銀行資訊長劉培文、將來銀行籌備處策略長吳建頤、台北富邦銀行數位金融顧問李維斌、台新金控資訊長孫一仕,也在這場論壇,針對金融產業的創新與資安防護,進行對談。

「金融創新的同時,還得顧及金融資安,對資訊主管來說,是很大的挑戰。」玉山銀行暨玉山金控資訊長謝萬禮點出關鍵。他解釋,銀行資訊單位被賦予的責任是金融創新發展與各方應用,然而要創新就要快速迭代開發,同樣也會因應很大的資安風險。

玉山銀行暨玉山金控資訊長謝萬禮

謝萬禮也認為,與其應外部壓力而做金融創新與資安,倒不如思考如何透過機制,導入方法,用更開放的思維擁抱改變。因為,「當我們不改變,別人也會來改變我們,世界不斷前進,若不踏入未來的領域,遲早會被顛覆。」

然而,在金融創新上,心態的改變才是關鍵。他舉例,一家企業若期許要讓資訊科技,成為企業最重要的核心競爭力,引領企業變革與數位轉型,這樣的思維與格局,就會大大不同。但挑戰是如何把理念,說服老闆們與經營團隊。

在資安議題上,謝萬禮認為,駭客的企圖與想法與過往完全不一樣,過往駭客是要練功夫展現實力,接著要偷走個資拿去賣,現階段是要從企業把金錢轉出去。然而,一次的資安事件,會讓企業過去建立的品牌信用與聲譽受損,而且可能是無法預估的損失。但,他也認為,有些資安現象,可以改變老闆對資安投資的看法,當他們了解到資安風險,以及可能會對企業造成的損失,就會更加願意投資資安。

做好資安得先盤點企業資訊資產,並落實全體人員資安意識

「資安已經變成金融業基本的條件與要求。」但是,金融業內部的網站是否能終生防禦?謝萬禮指出,得下不少苦工夫,企業要做好資安,得先盤點自有的資訊系統、資訊資產,以及資料的重要性,也只有踏踏實實地全面盤點過後,才知道哪些東西要放在最重要的保險箱。而在資安投資上,得依據企業的系統環境,面臨的風險,逐步編列中長期預算。

然而,謝萬禮也強調,最重要的是落實銀行人員的資安意識,包含第一線營業單位的人員,尤其是手上握有高權限帳號的特殊人員、IT人員。他坦言,資安意識若沒有在內部建立起來,企業即便做再多資安投資,都是沒有效果的。

過去,人人期待駭客不要找上門,謝萬禮認為,企業現階段得要轉變的觀念是,假設病毒、駭客、木馬程式已經進來自家了,要做的事就是在他們潛伏的活動時間內,早一步阻攔他們偷走資料或把錢轉出,「這就代表我們資安的成功。」他說。

謝萬禮也強調,資安聯防很重要,靠單一銀行的力量很難面對外部挑戰,怎麼讓更多人共同分享資訊,是一大課題。他也建議主管機關,除了懲罰外,也要有正面鼓勵,例如有金融業者在駭客達到目的前,完成阻攔動作,並把這樣的機制分享出來,主管機關可以給出鼓勵,業者就會更願意把資訊分享出來。

金融創新與資安都是風險,最難是企業價值體系與文化,決定你不能做什麼事

「董事會看金融科技對傳統銀行帶來的威脅,就像是全球暖化,而資安則是像颱風或地震,短暫的時間就可以感受到衝擊。」這是第一銀行資訊長劉培文的觀察,他提到,就像2016年一銀ATM遭駭事件,因為曾經發生過資安事件,所以一銀從上到下在推動資安是更通順的,也包括成立數位安全處。

第一銀行資訊長劉培文

他也指出,金融創新與資安,對於銀行的經營階層來說,都是風險,只是規模不一。談到資安,許多人第一個喊出的就是需要資源,但劉培文可不這麼想,他認為,有資源就能決定要做的事情,「但最難的是企業的價值體系與文化,決定你不能做什麼事情」。

劉培文提到,以企業經營的角度來說,傳統銀行進行數位轉型的挑戰更大,因為過往的經營模式已經很成功,所以認為發展金融科技帶來的獲益不夠。當養成了這樣的價值觀,就不會選擇做創新的事情。不過,他也觀察到,這樣的價值觀與文化已經在銀行逐漸改變,可能也會讓創新與資安的資源與SOP開始轉變。

「資安單位人員絕對不能只懂資安,必須要懂金融業務,了解金融創新在做什麼,又如何與外部跨業合作。」劉培文強調,銀行得要有一個機制,讓資訊安全單位的人員加入IT單位、業務單位、創新單位的作業。

金融創新得小步快跑,實踐資安需是生態系思維

台北富邦銀行數位金融顧問李維斌表示,因為銀行業是高度監管的產業,所以要從老舊系統(legacy)的觀念,轉到創新(innovation)是困難的。而創新也代表不確定性,根本無法預測導入服務後,會帶來什麼影響。我們得要小步、快跑,才能應付現在的變化,這樣的作法會讓不確定性漸漸降低。

李維斌表示,現在的金融服務不是一次到位,而是一步步去擴充規模(scale)。而銀行的基礎設施能否應付未來的需求,就很重要。此外,他也談到資安、個資隱私很重要,複雜度也很高,不是單一家銀行就可以解決的,得由民眾、政府監管單位的認知做起,讓整個生態系都必須起來,才能實踐資安。

台北富邦銀行數位金融顧問李維斌

金融創新與資安,得在風險、方便性與成本間取得平衡

台新金控資訊長孫一仕談到,金融創新較偏向在業務模式上,科技的應用則是讓業務模式創新的工具,對於底層的技術,他相對沒那麼擔心。在金融創新部分,他個人認為,未來銀行的趨勢會是異業結盟,也就是開放API,因為異業結盟會帶來更多連結,不管是人或是應用。

而在資安的觀察,孫一仕提到,銀行通常都是發生了資安事件,高層的關注度就會變得非常高。他也揭露台新在金融科技與資安的方向,雖然「做資安是沒有止境的,也沒有辦法保證百分百安全。」但台新會持續在風險、方便性與成本間取得平衡,讓科技工具發揮效果,也要讓台新全行的人員都有資安意識,例如,台新在內部常做社交工程演練,就是希望持續提升人員資安意識。

孫一仕也強調,資安聯防很重要,沒有一家金融機構能保證資安能夠做到百分百安全,彼此資訊通知、聯防才是上策。

台新金控資訊長孫一仕

推進金融服務時,資安防護如何與便利性平衡是將來銀行的思考方向

將來銀行籌備處策略長吳建頤則是觀察到,使用者的行為在轉換,金融服務在推進的時候,資安防護要如何與便利性平衡,是重要課題。對於有機會重新打造一家純網銀的將來銀行籌備處來說,如何在手機上做到相對安全,又能讓便利性達到一定程度,會是他們思考的問題。

吳建頤更認為,資安這件事情不一定只是企業資安團隊的責任,或許用戶也可以為自己的資安把關。他舉例,去年線上信用卡偽冒交易,臺灣就損失了21億臺幣,或許客戶可以在信用卡的App上,把信用卡電子商務相關的交易直接關掉,或是客戶明明不出國,就可以直接把國外的交易關掉。「用戶可以用自己的力量,去控管他認為是資訊安全匯流的漏洞。」若能做到安全又兼顧便利性,會是將來銀行要去嘗試的方向,吳建頤說。

將來銀行籌備處策略長吳建頤

金融業數位化過程,最後一哩路是身分驗證

在現今的零信任時代,金融業如何保全自身與顧客?李維斌表示,信任是一段旅程,也是讓社會更容易往前走的重要因素,建立信任需要時間,而且禁不起打擊。而銀行要從交易(transaction)到與顧客建立關係(relation),要經營的就是信任。李維斌也直言,大家都不喜歡銀行,但是銀行還是相對被信任的單位,所以銀行要繼續走到下一步,就是要與年輕族群建立關係。

謝萬禮則認為,顧客對企業的信任是日積月累,金融創新與資安佈建與意識也一樣,只有累積、沒有奇蹟。他也指出,金融業在數位化過程,遇到最大挑戰就是身分驗證,這是最後一哩路,若有好的機制可以實踐,相信對臺灣金融業對數位線上服務,會有大的變革與不同的樣貌。

最後,謝萬禮也提到,不管是金融創新或是資安議題,企業經營還是要回到初衷,了解外在世界環境的改變、顧客行為的改變,以及顧客遇到的痛點,而企業是否有解決顧客的問題。文⊙李靜宜


Advertisement

更多 iThome相關內容