百年彰銀面臨各種資安威脅，設資安長兼顧企業營運安全

成立於民國前七年的彰化銀行，是一家名符其實的百年老行庫，隨著部分公股銀行逐漸民營化，公股行庫勢必要擺脫以往聽命行事的作為，並積極朝向各種新興的金融科技應用，提供更新穎、更便民的金融服務，藉此贏得更多民眾的信賴。

只不過，各種結合金融科技的新服務上線後，也同時面臨各種新興的資安威脅，金融業是臺灣主管機關監管相對嚴格的產業，率先要求資產規模一兆元以上的銀行，都必須設立獨立的資安專責單位，及設置相當層級的資安專責主管，其中，資安長的層級從原本協理層級以上位階，又擴大要求設置副總層級的資安長。

在這個主管機關逐漸重視資安的過程中，彰銀副總經理兼資安長陳斌就是最好的見證者。

陳斌本身就是彰銀的資深員工，從1993年進入彰化銀行工作迄今已經將近三十年，經歷資訊專業和業務營運的磨練，例如：資訊處、數位金融處以及海外分行經理人等職務。

陳斌在2017年3月接任副總經理一職，負責督導數位金融處、資訊處；而資安部門直到2018年才成立，這也成為陳斌督導的業務範圍之一；此外，他也在今年3月29日正式接任資安長一職。

接任資安長職務前，陳斌擔任資訊處長及資訊安全處的直屬督導副總多年，一直負責統籌全行資安政策推動及資源調度，再加上自身的經歷和多年的IT經驗，以及彰銀2008年導入ISO 27001資訊安全管理系統，資訊安全的基因已注入日常的IT維運，使得資訊和資安的工作流程結合在日常的工作營運中。所以，當他接任資安長時，沒有銜接上的困難。

對陳斌而言，不同職務的歷練，讓他不僅熟悉彰銀各個部門的業務，擔任營運高階主管後，更能從營運角度協助制定相關營運策略，「而資安長更是必須在負責企業資訊與資料安全的前提下，同時確保企業營運的安全性。」他說。

資安長具備資安專業有加分，但態度和溝通力才是關鍵

陳斌接任資安長後的主要任務就是：統籌資安政策推動協調及資源調度。在資安政策推動上，應該洞悉整個企業面臨的資安風險，知道企業的風險容忍度及資安目標；在資源調度方面，則需要謹慎安排資安預算，將不可或缺的資安建設需求，列入優先採購項目。

資訊處是陳斌最熟悉的部門，一路從工程師、科長、處長到後來擔任銀行資訊長，他認為，過往在資訊處所累積的資訊技術的經歷，有助於他在思考資安架構或面對資安事件等議題時，可以在最短時間內訂出方向、做出決策。

之前包括數位金融處以及海外分行的歷練，有助於他對於資安政策的制定與推動上，可以做到兼顧資安與業務的需求，並藉由規畫適當的管控機制，讓各個部門站在同一陣線，從公司的角度出發，分析各種可能後果，理智的分析與溝通，確保全行達到最大利益，共同配合安全措施的推進。

他強調，資安長重要的特質之一就是：跨部門溝通能力。因為，資安制度與策略推動，要大量的跨部門溝通，才能減少推動資安制度造成的衝擊，不管是對上溝通，包括董事長、總經理等，要爭取更好的資源投入資安；或是不同部門間的溝通協調，像是採購部門；或是對全行的資安宣導等，溝通能力都是不可或缺的必備技能；或是對外部溝通，例如F-ISAC或主管機關金管會等。

由於資安長的工作範圍囊括管理面、政策面及技術面等，甚至於，資安也已經納入公司ESG公司治理的項目。陳斌認為，資安長對資安風險及資安範疇必須有一定的了解，要有足夠的「危機意識」，加上資安事件處理往往是「養兵千日、用在一時」，問題來了，也要有危機處理能力。

他說：「資安長的資安專業可以接任後培養，具備資安專業的確會加分，但願意面對問題、不畏艱難、持續溝通的態度，才是稱職資安長的關鍵。」

攝影／洪政偉

具備資安專業對資安長有加分，但願意面對問題、不畏艱難、持續溝通的態度，才是稱職資安長的關鍵特質。── 彰化銀行副總經理兼資安長 陳斌

一銀事件提升銀行業者的資安意識

在2016年爆發第一銀行的ATM盜領事件後，主管機關金管會要求，所有的銀行業者都必須立即強化ATM安全，當時陳斌正好擔任資訊處處長，面對這樣的資安任務，接手處理起來還算游刃有餘。他說，當時資安雖然還不是獨立的專責部門，但早就是不可或缺的組別。

他回憶，在2016年爆發第一銀行ATM盜領事件，彰銀和其他銀行業者的想法應該都一樣，當下先求平安，之後才思考更長遠的資安改善計畫。

陳斌表示，在一銀ATM盜領事件爆發後，公股銀行之間也會互相通報，當時短期的資安作為就是：限縮ATM提供服務的時間，當時也在討論，第二天晚上是否停止ATM的服務；暫時關掉軟體派送伺服器，先止血、避免有資安後遺症繼續延續。

他說，後續中期的資安作為，就是花1到3個月強化資訊處的架構，重點在於限縮員工使用行為的方式，要求銀行員工要連線到重要系統時，必須到規畫好的連網專區使用電腦，做到專區、專機、專用；長期目標就是：調整資訊架構，將分行ATM系統獨立出來。

陳斌坦言，不管是第一銀行的ATM盜領案件，或者是遠東銀行的SWIFT國際匯兌系統的資安事件，都讓臺灣金融業者真正意識到駭客的厲害，也讓主管機關金管會對金融業的資安更加警覺。

他認為，這些資安事件的爆發，也提高臺灣銀行業者近年來對於資安的重視，甚至於，資安也成為企業社會責任（ESG）重要的一環。

金融釣魚簡訊事件，彰銀視同作戰

資安處成立後，和資訊處、其他業務單位都保持良好的互動關係，遇到突發的資安事件時，可以做到兼顧資訊安全和業務營運持續的雙贏局面。

他說，最明顯例子就是，2021年春節前後，爆發詐騙集團偽冒銀行發送釣魚簡訊的資安事件，造成民眾大筆金額的損失，當時甚至傳出，有三十多名受害客戶的損失總額高達500萬元。

陳斌坦言，銀行可以針對行內員工進行資安教育訓練，但無法對客戶進行資安教育訓練。

這類資安事件透過大量發送釣魚簡訊，誤導民眾點擊偽冒的惡意連結後，連線到偽冒成各家網銀的釣魚網站。當民眾以為釣魚網站是真的網銀時，就會輸入真實網銀帳號、密碼，詐騙集團就可以藉此取得民眾真實的網銀帳密。

另外，他也說，詐騙集團也透過詐騙手法，騙取用戶收到銀行發送、綁定信任裝置的一次性密碼（OTP）後，再藉此，將民眾的網銀帳戶，非法綁定到詐騙集團持有的手機裝置，進行非約定轉帳後，進而成功盜領民眾金錢。

陳斌認為，這類資安事件有其急迫性，決定採取「先治標、再治本」的解決方式，藉此降低民眾的受害程度。

在爆發偽冒銀行發送釣魚簡訊的詐騙案件後，陳斌當時便和督導的資訊處、資安處和數位金融處的三個處長商量，並參照從F-ISAC得到進一步的情資，確認釣魚簡訊的問題是發生在重新綁定OTP時所發生的資安事件。

在彼此討論一輪後，陳斌當下決定，暫時停止OPT密碼重新綁定手機的服務，客戶若要重新綁定手機，必須要打電話到客服部門重新驗證身分後，才提供新的密碼綁定手機。

陳斌說，這樣的治標作法雖然對客戶帶來些許的不方便，但因為可以立即降低客戶受害的可能性，效果立即可見。

針對這次的釣魚簡訊事件，可以在不到一天內，就立即決定先暫時中止手機重新綁定OTP的服務，因應速度相當快，陳斌認為，這也是資訊處、資安處和相關業務單位彼此已經有合作默契，在兼顧資安、業務營運持續和客戶安全三贏局面下的結果。

資安長應重視同業發生的資安事件，做到防範於未然

因為是春節前夕爆發的資安事件，加上疫情影響，陳斌一接到相關資安事件的資訊時，很擔心行內客戶會成為下一波的受害者，第一時間便即時召開線上會議，聚集相關部門主管集思廣益、協助危機處理。

先透過治標方式，避免行內客戶成為受害者後，接下來就要進行治本的工作。陳斌說，政府先前積極推動結合五大電信業者所提供的行動身分識別服務（Mobile ID），透過手機就可以進行實名認證，也可以作為網路上的身份證。

他表示，Mobile ID的網路身分認證方式，可以擴及未來網路上所有的金融開戶、交易、轉帳及購物等行為，只要是需要核對個人身分來確認交易的行為，都可以輸入行動電話號碼，完成個人身分的查核與認證。陳斌指出，這也是彰銀目前積極推動的身分認證方式，未來應用範圍，必須看推出什麼金融服務。

這起資安事件對陳斌帶來的啟示，便是：發生任何資安事件一定要先立即止血並積極通報，然後再深思相關的治本之道，把資安漏洞真正補好。

他表示，沒有發生資安事件不代表沒有問題，看到他山之石的案例，例如此次的釣魚簡訊事件，雖然是其他同業受害，但不代表彰銀不會是下一個受害者，所以面對這種案例時，資安長一定要有足夠的警覺性和危機意識才行，才能真正做到防患於未然。

陳斌表示，因為過往自己曾接受資訊和業務的雙重磨練，所以，對於這樣的資安事件警覺性相當高。但他也說，如果接任資安長的主管偏重營運安全時，專業的資安部門就必須扮演好稱職的資安幕僚角色，一旦發生這類資安事件時，就應該立即通報給督導資安的副總或是資安長，協助資安主管可以快速決策、因應。

 CISO小檔案 

 彰化銀行副總經理兼資安長陳斌

學歷：交通大學資訊工程研究所、中央大學資訊管理研究所

經歷：在彰銀工作近30年，從科長一路升任彰化銀行電子營運處處長、資訊處副處長及處長，並外派新加坡分行擔任分行副理及經理，回臺後升任副總經理，督導資訊、資安、數位金融、國際營運處、子行，以及秘書處，負責ESG業務及兼任發言人，並於2022年3月29日接任資安長一職

 公司檔案 

彰化銀行

成立時間：1905年6月5日

公司地址：臺北市中山區中山北路二段57號

業務種類：銀行業

資本額：1,059.35億

年營收：286.86億

董事長：凌忠嫄

總經理：周朝崇

員工人數：6,680人

 資安部門檔案 

成立時間：2018年9月3日

資安部門主管：呂耀茹

資安部門人數：21人

資安部門預算：逐年增加

 資安角色與分工 

資安專責主管：負責監督和落實資訊安全政策與協調及推動資訊安全管理作業，並每年向董事會報告資安整體執行管理情形。

資安管理科：發展、規畫及建置與資訊安全有關之處理程序，以逹成最佳內部控制

資安技術科：執行與資訊安全有關之處理實務，以維護本行資訊環境與系統安全

 資安大事記 

2018年：9月正式成立資安專責部門，推動及維持資訊安全各類執行、管理與查核等工作之進行；導入防火牆政策管理工具

2019年：建置資安日誌與事件管理系統(SIEM)，建立本行SOC機制

2020年：成為金管會推動的F-ISAC（資安資訊分享及分析中心）會員，透過資安事件通報及情資分享，充分發揮資安聯防功效；導入端點惡意程式檢測系統（EDR）

2021年：參加金管會主辦之2021金融資安攻防競賽（FINSEC DEFENSE攻防競賽）表現優秀，並獲邀參加經濟部工業局與臺灣駭客協會共同主辦的「HITCON DEFENSE 2021企業資安攻防大賽」，本行團隊於競賽中取得第三名佳績；導入新日誌保存系統（N-Cloud）及弱點管理系統

2022年：汰換電子郵件過濾系統；汰換共用電腦個資盤點系統；汰換網頁應用系統防火牆；導入虛擬補丁防護機制；加強檔案異動管控；加入TWCERT/CC（臺灣電腦網路危機處理暨協調中心）強化資安聯防；擴充SIEM系統及資料庫稽核監控系統；優化網路架構，更新分行網路並強化資安防護；升級外部防火牆；針對IoT網段做隔離；升級資料外洩防護系統（DLP）；深化資安治理，設置副總層級資安長，並設置資安顧問增進經營階層對資安的監督能量；完成ISO 22301：2019轉版作業