勤業眾信聯合會計師事務所董事萬幼筠表示,純網銀生態系雖然可以讓金融服務更貼近民眾生活,但伴隨而來的資安風險是一大挑戰。

圖片來源: 

攝影/翁芊儒

「純網銀的核心是建構數位化的金融服務業。」勤業眾信聯合會計師事務所董事萬幼筠在一場活動中表示,純網銀的數位轉型不只在於技術的應用,還包括經營管理流程的優化、貼近顧客需求的個人化服務、以及串聯網路金融生態系的商業模式。另外,仰賴資訊技術平臺與工具所帶來的風險,也是純網銀經營者必須面對的挑戰。

臺灣銀行網路化發展,歷經了四個階段,從銀行上網、服務與交易網路化、數位化銀行(數位帳戶整合服務)、到現在的純網銀及網銀集團(生態圈),象徵著,銀行由集中式的臨櫃交易處理,走向消費者賦權、分散於各場景的金融服務。

不過,傳統銀行近年雖然積極推動數位化,但萬幼筠觀察,但他們多半只是實驗性地測試市場水溫,或仍以舊思維描繪數位化的樣貌,「純網銀的出現可能帶來一些典範移轉的改善。」

尤其,金管會預計在今年要發放兩張純網銀執照,要讓沒有包袱又帶動異業合作的純網銀發揮鯰魚效應,回頭提升傳統銀行的競爭力。他建議純網銀業者,要積極結合各類生活服務與社群能量,要利用生態圈內複合的通路與數位化功能來推廣金融服務,但萬幼筠也提醒主管機關,新的商業模式需要摸索,因此法規也需要與時俱進來提供更多開放空間。

不同於傳統銀行,純網銀要將金融服務延伸到不同場景、發展更多通路來建立生態系,因此,「運用API串接跨域服務很重要。」他解釋,以歐盟新支付法規(PSD2)為例,為了讓金融服務結合生態系發展更多創新應用,各會員國的金融業者被強制得將顧客資料,透過開放API授權給第三方業者使用。萬幼筠表示:「開放API的核心理念是把資料服務的主權還諸消費者,促進銀行服務走向消費者端,並透過網路建構新的生態圈,達到普惠金融的目的。」

純網銀不只是對外發展生態圈環境,對內也要改用生態圈思維來調整,萬幼筠舉例,純網銀未來可能的IT架構,是透過跨金融業務的微服務容器架構(Container-based Microservices),讓業務平臺更容易開放API、與第三方業者串聯應用數據服務,「與傳統銀不同的是,純網銀的組織和架構不是以提高業務績效或行政效率為目的,而是要讓每個服務更容易與生態圈串聯。」

未來幾年,萬幼筠認為,臺灣純網銀發展,可能出現7種新趨勢,首先是網站介面改造趨勢,開始發展出各種「自動化的客戶引導」設計,也會藉助AI、大數據、雲端、區塊鏈技術來提供各類「增值的內容與功能」,第三則是「金融服務導航」能力的強化,可以精準投放金融服務,或讓顧客更容易取得客製化資訊與金融服務建議。更多創新的網路金融服務出現後,第四個趨勢是,純網銀得提供各種因應網路與虛擬金融環境的資安功能。在生態經營上,純網銀也會與生態系合作者發展新商業模式,或是透過生態系的資料掌握新興客戶的未決信用。最後一項新趨勢則與顧客經營有關,純網銀不只追求新顧客,他認為,也會深入分析金融帳戶關閉的原因來強化客戶黏著度等。

面對新興科技的資安風險及網路犯罪供應鏈的威脅,純網銀必須做好準備

萬幼筠特別針對第四項趨勢,也就是純網銀得具備的資安能力,進一步說明,他強調:「由於純網銀的數位轉型迅速,傳統銀行的資安防護不能解決新興金融科技衍伸的資安問題。」尤其像AI、區塊鏈、雲端與大數據,雖然能用來加值金融服務,但也存在了更高的資安風險。

舉例來說,不夠精準穩定的AI技術可能遭到有心人士的利用,造成民眾隱私或權益遭到侵犯,例如匯豐銀行新推的人工智慧帳戶語音系統,就曾遭一對雙胞胎兄弟互相模仿彼此的聲音,而成功地騙過語音驗證機制;也有國外開發者利用生成式對抗網路產生以假亂真的人臉圖片,可能被拿來作為蒙騙人臉辨識的工具,引發身分盜用或詐欺的風險等。

而分析顧客消費行為來提高銷量的大數據應用,開始出現許多濫用,客戶隱私資料外洩的風險更高了。因此,他認為,純網銀得更重視資料去識別化,確保資料無法被破解或重新識別,甚至得事前擬定數據遭到非預期性揭露時的應變機制。

大量運用新興科技的純網銀,他觀察,未來必須面對更高頻率與更複雜的網路攻擊,甚至是得面對整個網路犯罪的黑色供應鏈的威脅。從上游的攻擊服務提供者製作惡意軟體、出租殭屍網路,再由中游的釣魚者、垃圾郵件發送者、駭客發動攻擊,進一步盜取銀行資料或用戶個資來詐騙、盜竊財務,最後再透過下游的洗錢騾子、虛擬貨幣賣方來洗錢等。

面對精緻化的網路犯罪供應鏈,萬幼筠建議,純網銀需要掌握6大網路安全管理能力:治理(Governance),先依據目標規劃組織架構,並訂立安全目標與資訊交換政策,其次是溝通(Communication),這是指建立內外都能有效溝通的資訊傳遞方式,接著要擁有能見度(Visibility),確保組織能瞭解關鍵基礎設施的管控。另外,也得完整瞭解各種威脅來源的情資(Intelligence),才能規劃弱點管理、來提升事件應變處理能力。蒐集到情資後,要進一步建立回應(Response)能力,進一步識別、分類、調查來減緩威脅事件。最後一項純網銀必須具備的資安能力是量測(Metrics),才能掌握資訊安全管理流程的有效性。

建立這六大能力後,他認為,持續對純網銀所有業務進行360度的威脅掃描分析,一旦發生網路資安事件,可以即時通報、應變處理,如此一來,才能維持純網銀的平臺基礎安全、保護資料與隱私、並抵禦金融科技服務帶來的風險。


Advertisement

更多 iThome相關內容