一銀在2016年曾發生過ATM遭盜領事件,一銀表示,已積極改善整體防護機制。(記者靳昌玲攝)
記者陳梅英、吳欣恬/專題報導
回顧近幾年,除2016年第一銀行曾發生過ATM遭盜領事件外,公股行庫並未有重大資安事件。不過,隨著數位金融時代來臨,業者隨時備戰因應,所有公股行庫幾乎都已經設立資安長,並持續擴編相關資訊安全部門;至於民營銀行表示,目前資安保護是採縱深防禦策略,但駭客已改從外轉由內部攻擊。因此,對內資安防護成重點。
首先,在公股行庫方面,一銀指出,2016年歷經ATM盜領事件後,已積極改善整體防護機制,目前共有三道防線,除委請專業資訊安全顧問協助提供短期防護外,2017年一銀成立資訊安全專責單位「數位安全處」,人員編制有30餘人,負責控管資訊安全監控及管理,為第二道防線;稽核單位擔任第三道防線,協助確認資訊安全落實及監控之有效性,以健全資訊安全維運。
三道防線 阻擋駭客入侵
在其它公股銀行方面,台企銀說,過去一年未發生重大資安事件,網頁與APP也未遭受惡意攻擊。不過,台企銀發現網頁或APP不時有外部惡意刺探或掃描網頁情形,台企銀已建置資安事件分析平台(SIEM),配置專人進行日常監視作業,並持續優化縱深防禦機制維護資訊安全。
在資安部門的編制與投入方面,華南銀現有資訊安全部人員34名,另因應數位轉型擬成立數位工場,年底前將招募資安工程師10位,資安人員擴充至44名,將是公股行庫中規模最大者;華南銀並配置資訊安全維運中心,資安人員24小時輪班監控,如有事件,依資訊安全事故應變作業流程因應。
公銀持續投入資安預算
合庫的資安單位人力配置37名,今年預算1.4億元,預計明年預算將較今年增加2成。
土銀、彰銀與台企銀目前也都配置20名資安人員。其中,土銀規劃擴編資安員額至26人,近年資安相關預算約2億元。台銀資安人員有30名,今年將再招募6人,資安預算成長19%。
彰銀2018年成立資訊安全中心,資安預算預計增加2成以上。除用於現有系統擴充案及各項資安檢測及評估作業外,還將升級外部防火牆,導入自動化攻擊安全防護系統,並規劃建置新型負載平衡設備,提供進階網頁應用程式(Advanced WAF)防護功能。
在民營銀行方面,新光銀行表示,目前銀行資安保護是採縱深防禦,層次防禦的門鎖越多、小偷就越難闖入,這是防禦構面的「基本盤」;不過,近幾年案例顯示,不少駭客已發現由外而內,根本就攻不進去,因此,改用電郵邀請信方式,利用獎金等方式利誘、直接邀請公司內部人士參與攻擊,猶如「木馬屠城記」般,因此,強化對內資安防護也成為一大重要關鍵。