〈觀察〉連電子大廠都被駭 銀行業網路資安也是大戰場

鴻海 (2317-TW)、研華 (2395-TW)、仁寶 (2324-TW) 等超過 10 家電子大廠近日相繼遭駭客、勒索軟體攻擊，連電子大廠都被駭客入侵，而金融業是經濟永續發展的血液，隨著數位轉型升級、純網銀來勢洶洶加入戰局、以及開放銀行 (Open banking) 上路，網路資訊安全更是傳統銀行需要關注的重要風險。

資訊安全防護容易百密一疏，駭客只要找到一個漏洞就可能從中侵入企業網路或系統，而且這次專挑高科技大廠，駭客手法愈來愈高明，企業防不慎防，不只這次遭駭的電子業，若對銀行業者來說，近年來正在數位轉型，擔憂的風險也跟著轉型。

從安永聯合會計事務所與國際金融協會 (IIF) 過去十年的《銀行風險管理調查報告》觀察，銀行管理金融風險最初的主要聚焦在資本與流動性風險，隨著公司治理與法規完善、加強三道防線及監理後，銀行體質更健全，逐漸降低財務面的風險與槓桿；近幾年的風險關注角度，開始更關心重大的非金融風險，「網路安全」已經連續三年位居首位，成為銀行業認為最大的風險挑戰。

金融科技發展與各方應用正因為要創新，就要快速迭代開發，同樣也會因應很大的資安風險。而金管會已經核准樂天純網銀開業，隨著台灣將進入純網銀服務時代，以及開放銀行第二階段業務的核准，使金融業者將自家 API 開放給第三方業者，就可能為駭客帶來全新的潛在攻擊機會，若 API 有漏洞，也可能潛藏隱私外洩的資安風險。

銀行高層表示，開放銀行對資安可能產生的挑戰還有，過去銀行的許多監控設備，是由網路層、傳輸層的攻擊訊號來發現惡意行為；不過，開放銀行後，駭客可能會先攻擊 TSP 後，再假冒 TSP 客戶透過 API 向銀行發出交易指示。

因此，整體來說，對傳統銀行而言，必須盡快擁抱數位轉型、加快升級，從商業模式、數位產品、到資訊系統及架構都需要全面革新，連帶的也是資安需要跟著進擊的大挑戰。

如果只是強化資安設備絕對不是萬靈丹，每一種資安設備都有其長處與它的限制，而且許多風險即便買了資安設備也不見得能防範。

銀行高層表示，要做好資安，得先盤點自有的資訊系統、資訊資產，以及資料的重要性，只有全面盤點過後，才知道哪些東西要放在最重要之處，而在資安投資上，得依據企業的系統環境、面臨的風險，逐步編列中長期預算，因為現在的金融服務不是一次到位，而是一步步迭代、擴充規模。

銀行業的資安之所以重要，是因為顧客把身家財產交給銀行，而銀行要能真正確保顧客不會被挾持，因此金管會從監理高度要求超過兆元資產的銀行與保險公司，都要設立獨立的資安專責部門，而所有銀行業的公司治理也必須轉型，要往數位治理的方向前進，把資安思維深植企業文化 DNA，唯有完善的資安基礎，才能落實金融創新。