東吳法律系李相臣教授:金融業的資安防範須多關注歐洲的網路動向

通過資安標準並不等於做足資安,資安是沒有100%保障的。另一個提醒是企業不可過度信任資安委外,資安委外有可能「報喜不報憂」,企業依然要保持警惕防範之心,並有一套監督委外機構的方法。

(本文為2018網路資訊「無邊界網路安全研討會」台北場之會後報導)

「金融機構由於監管繁瑣,不容易找到卓越的資安技術人才。」東吳大學法律系兼任助理教授李相臣陳述金融業現況,卓越的人才多不願被繁複的組織規章所約束,有些甚可能轉為駭客,並把攻擊目標指向有經濟利益的金融機構。

資安威脅也確實日益嚴重,許多金融業因方案昂貴多尚未導入行動裝置管理(MDM),但手機造成的資安洩漏已日益嚴重,Google近期把一個藏有木馬程式的App自Google Play下架,但下架前已被下載60萬次,而紀錄片《手機不設防》也顯示今日行動裝置普及所帶來的資安嚴重性。資安日益嚴重的另一例是第一金資安事件,犯行者僅23歲,學歷高職畢業,已可發動DDoS攻擊並勒贖比特幣,顯見資安犯罪日漸容易。

資訊取得也比過往更加容易,李相臣甚至跟自己女兒說:「這個時代沒有緣份只有木馬(程式)。」別以為妳與某個男生很有緣,妳很可能被追求者蓄意收集完整資訊而刻意營造出緣份際遇。也由於資訊產生與收集的多元化,傳統的KYC(Know Your Customer)定義也在改變中。

資安風險日增,但資安威脅也有地域性差異,李相臣分享其觀察,亞洲的駭客集團對政府較有(攻擊)興趣,美國駭客則對個人隱私較有興趣,歐洲則是對金融單為較有興趣。由此可知金融業的資安防範須多關注歐洲的網路動向,甚至攻擊所用的惡意程式也多以歐洲風格命名。

近期資安威脅的另一個特點是傾向在單位機構放長假前發動攻擊,攻擊前則潛伏不動,企業對此也必多加留意。資安威脅不僅攻其不備還常出奇不意,今日多數人已習慣掃描QR Code,但QR Code也是能潛藏木馬程式的,或者有愈來愈多非電腦設備也開始連網,如視訊監視器,也有可能成為資安漏洞或跳板。

李相臣也提醒,通過資安標準並不等於做足資安,資安是沒有100%保障的。另一個提醒是企業不可過度信任資安委外,資安委外有可能「報喜不報憂」,企業依然要保持警惕防範之心,並有一套監督委外機構的方法。

此外企業平時也當分析已阻絕隔離的垃圾郵件,其中夾雜單純廣告信件與惡意程式信件,廣告信件可直接丟棄,但惡意程式信件當加以分析,了解其特性後再加強防範,而不是成功阻絕隔離後就鬆懈防備。

進一步的,企業也當善用大數據(big data)分析技術在資安領域,雖然大數據分析可應用在各種層面,如市場調查、醫療研究等,但李相臣認為用於資安防護是目前最有效益的。

最後,雖然資安防護很重要,但也不可忽略創新,然創新與管制兩者經常是相左的,管制多容易阻礙創新,創新多則容易有安全顧慮,企業須在兩者間求取均衡或加以取捨才行。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416