金融資安防駭 擬實兵演練

【經濟日報 記者邱金蘭／台北報導】2016.07.18

一銀ATM遭盜領事件牽動數位金融資安敏感神經，金管會採三階段因應措施，包括下令銀行年底前完成資安演練、請外部資訊專家進行安全評估，金管會也將首度把資安納入存款保費計算，資安差的保費會被提高。

國內銀行都加入存款保險，必須繳交保費給中央存保公司，目前採差別費率，未來資安也將列入差別費率因素，資安好的銀行可獲減費，差的則加費，藉以鼓勵銀行強化資安。

一銀爆發ATM被盜領案後，各界更加關注，數位金數發展趨勢下銀行的資安問題，金管會官員昨（17）日表示，這次事件後，金管會已採三階段因應措施。第一，損害控制，全面清查同類型ATM有無問題；第二，要銀行公會一個月內強化ATM安全控管基準。

第三，除了ATM外，金管會也將要求銀行，全面檢視資訊系統、網路銀行等電子銀行業務的安控，並進一步加強資安防護計畫。

金管會高層昨（17）日表示，金管會決定加強資安防護，要求所有銀行年底前完下列兩項，包括自行完成「資安演練」，以及請外部資訊安全專家，進行電腦資訊安全評估，並針對客戶相關的ATM與網路銀行系統，進行測試並採安全措施。

除了銀行自行進行的「資安演練」外，金管會內部也在評估，對金融機構進行「資安演練」，以測試銀行資安防火牆的防禦功效。

官員表示，「資安演練」方式有書面、實兵兩大類，去年曾針對公股銀行及部分保險及證券業做過書面的「資安演練」，至於實兵方式則尚未做過。

實兵的「資安演練」，主要是模擬駭客攻擊手入侵銀行資訊系統，測試能否成功，如果成功，會插個旗子或有字眼顯示是「演習」，讓防守的銀行知道不是真的駭客。例如安全通道過於老舊有漏洞，模擬的駭客攻擊手進入資料庫後，就可以更改存款等資料，甚至嚴重時就會出現電影情節，任意將A帳戶錢搬到B帳戶等。

官員強調，實兵演練必須不影響銀行業務正常運作，因此需要較長時間規劃，並訂定演練規則。

去年金管會內部曾有構想，但來不及作業，這次一銀事件後，更加凸顯重要性，尤其數位金融發展趨勢，有必要藉此，測試銀行的防禦能力，並促使金融業更重視資安。

圖／經濟日報提供