一銀ATM盜領事件暴露國內金融業資安漏洞,資訊安全也成為國內企業一大挑戰。國民黨立委曾銘宗23日舉行「推動FinTech配套資訊安全」座談會。會中金管會資訊服務處處長蔡福隆指出,預計明年第二季將成立金融資安中心,並導入類似中國大陸「烏雲」漏洞通報平台機制,期望民間白帽駭客可以幫忙金融業「抓漏」,金管會不用花到太多成本,妥善利用各界資源。
抓漏通報平台是什麼?
以中國大陸「烏雲」來說,它是由官方在背後支持的平台,協同許多民間資安專家幫忙抓出各企業資安上的漏洞,並且主動通報回平台,進而讓受駭單位能在最快時間修補漏洞。該平台還建立分級制度,白帽駭客能因此賺取名聲、成就感或額外獎勵,進而用來當作求職的能力證明。
只是有時候,是「抓漏洞」還是「駭」,界線模糊,因此蔡福隆也指出,未來金融資安中心的抓漏平台會清楚訂定遊戲規則,駭客「不能亂打」,確保提交漏洞的行為能夠減少爭議,不要遊走在法律的灰色地帶。
對此,駭客協會常務理事翁浩正大表贊同,但也建議政府盡快整合各平台資源。舉例來說,現有的TWCERT、教育CERT等中心,都有類似的抓漏通報機制,甚至駭客協會去年也成立了ZeroDay公益漏洞回報平台,各級單位和民間社群都有在做,「分散火力不是不好,但如果能做到聯防,彼此交換情資,會更有價值。」
金融業資安意識強
此外,翁浩正指出,駭客和被駭單位雙方的心態要正向思考,企業不要覺得對方就是要來勒索,面對問題,才能真正去解決問題;當然,駭客也不能趁火打劫,藉機竊取對方資料來販賣。
翁浩正以自身經驗觀察指出,金融業出現的漏洞大約9成都發生在網站上,往往是程式開發上的疏失,「大部分都滿嚴重的」。但是翁浩正也說,目前台灣金融業面對漏洞通報的態度,都相當積極,不僅有直接對接的窗口,後續處理也都很正確,應變速度可說相當快。
國內缺乏資安專業人才
翁浩正還建議金管會,漏洞通報平台的管理人員,最好也具備相關資訊能力,如此還可評估白帽駭客的通報是否正確,減少一來一往下,所浪費的時間和資源,「如果只有單純通報,那會相當可惜。」
但問題就出在,國內恐怕就是太缺乏專業的資安人員。安永會計師事務所執行副總張騰龍就在座談會中表示,專業人員全面性的訓練跟推廣是重要的,以目前來看,對金融和技術都熟悉的人並不夠。而台灣金融科技公司副總李漢超也表示,希望政府能夠建立一個資訊安全產學互聯網,解決目前人才不足的問題。
