金融业拥抱Fintech时应有的八大安全思维

传统的银行借贷，都需要针对个人的资产做过完整的评估之后，银行才会根据评估报告决定借贷的金额和利息。但是，现在金融科技兴起，却改变了金融业的借贷型态，可以透过社交的信用评等，决定你借贷的额度。

不过，金融科技在改变传统金融业营运型态的同时，勤业众信风险谘询公司总经理万幼筠则特别提醒，随着金融科技发展与金融面貌的改变，资安议题将不断扩大影响範围，早期由银行工会发展出来的安控规範，现在已经无法切合金融业的快速的发展需求。他也提出八大因应金融科技的安全思维，让金融业可以在拥抱金融科技的同时，可以和资讯安全并存。

FinTech改变金融业使用者体验，带来新的业务型态

传统的金融业包含保险、银行和证券等三大业务範围，提供包括寿险、产险、消费金融、企业金融和证券股票等金融服务。不过，万幼筠表示，现在的社交技术、物联网、云端运算、身分识别技术、行动技术、机器学习、大数据和区块链等新兴技术，已经彻底改变传统金融业的服务内涵，像是保险供应链的重组，让传统保险服务更为社交化、平台化，更带来新兴的保险型态，像是线上保险、P2P保险或IOT保险等。

另外，他也说，新的身分识别技术也改变消费金融的授信方式，因为改变资金来源，让媒合机制与信用评等平台化，带来P2P借贷的新业务型态；行动技术带来无现金、数据驱动、平台化和低交易成本的特色，则支持新型态支付模式的发生；包括机器学习和大数据等技术，改变了服务供应方式并提升效率，也产生新的业务模式，像是机器人理财与零售演算交易平台；而最热门的技术名词区块链，则改变原本金融服务的交易基础架构，区块链让数据可以做到更加精细化应用及平台化，像是那斯达克就利用区块链技术重新打造一个新型态的交易平台。

因为新的科技改变使用者的使用体验，也迫使金融业必须跟上这一波金融科技的改变浪潮，万幼筠表示，资安议题在金融科技领域上，更持续扩大影响範围，举例而言，目前是在金融科技环境下，所谓的伤害概念，早已不仅限于单纯的金钱。

面对各种网路攻击速度和频率不断提升，他指出，金融业应对的时间要求也越来越短，加上金融科技的複杂性，迫使所有的金融业者，无法只是以过往那种大一统的防护标准，来因应每一种金融科技带来的不同风险；在此同时，金融业仍无法抛弃传统但已经不敷使用的控制措施。

因为金融科技可能带来全新的业务型态，万幼筠认为，法规遵循将是资安影响力最关键的聚焦所在，但他也坦言，要把技术和法规的需求拉在一起，确有其难度，要让传统保守的金融业和技术社交对话也很困难。

金融科技为金融业带来5大风险

不管金融科技喊的如何震天价响，但2016年对所有金融业而言，都不是一个好过的年，从今年1月开始，就传出英国汇丰银行因遭到DDoS攻击，导致网路银行停止服务将近一天；3月传出孟加拉央行遭到骇客盗领8,100万美金；4月则传出香港的汇丰、中银8证券帐户遭到骇客入侵，领取未经授权的股票交易金额686万；5月除了越南的先锋银行差一点被骇客转走120万欧元外，在日本的Seven、Enet银行以及邮局等ATM提款机，则被盗领18.6亿日圆。

到了今年6月，DAO则遭到骇客领走超过360万个以太币，价值超过7,200万美元；7月台湾则发生第一银行ATM遭到骇客盗领7千多万元，所幸盗领金额多数已经追回；8月除了在香港发生Bitfinex遭窃，损失近12万比特币外，香港、菲律宾RCBC因为孟加拉央行盗领案所延伸的洗钱案，被菲律宾央行裁罚十亿披索；9月时，金管会则针对包括中信、富邦、国泰、元大、日盛、大众及永丰等7间银行的国际金融业务分行开户相关作业的乱象，开罚400万元～600万元。

即使金融业面临如此多的状况，仍无法忽略金融科技为金融业带来的机会，万幼筠直指，金融科技为金融业带来的是风险也同时是机会。他指出，金融科技带来的策略风险，让产业有更多的产业发展选项，让产业更有竞争性，可以自行发展、併购、结盟，并进行国际趋势和本地市场的综观；就法规遵循与治理风险上，金融科技带来新的商业模式，让主管机关必须面临更多的不确定性，且需设法针对新的产业型态做相关的产业法规遵循调适。

金融业最在乎作业暨财务风险，万幼筠表示，无论是既有流程的效率化或是商业模式创新，都应该考量既有控管是否可以有效降低作业与财务或者是信用等风险。

其中，金融科技的风险最主要来自数据和治理两个面向，他认为，金融业面对资料治理风险时，必须做到因应资料驱动、资料管理与分析，并在数位化过程中，好好控管所面临的个资管理与机密资料外洩等风险；面对网路与资讯治理风险所隐含的社交、行动、云端与物联网特性，让企业更加数位化的同时，确也必须曝露在更多的网路安全风险下。

从8种安全思维，因应金融科技带来的冲击

金融科技为金融业带来风险也同时带来机会，在这个必须与风险共存的时代中，万幼筠表示，资讯安全已经脱离IT部门就人员、流程和技术做风险管理的层次，现在，金融科技对金融业带来的资安冲击，不是单纯IT部门的事情，更必须提高到董事会和经营管理委员会中，由管理阶层面对的风险治理议题。这也是美国国家标准技术研究所和美国联邦金融机构检查委员会的安全风险治理逻辑，必须由董事会、经营管理委员会承担起资安管理角色的风险治理思维。

第二种面对金融科技的安全思维，则是要思考如何把金融科技和金融机构的作业风险管理机制做结合。万幼筠表示，首先要能够辨识风险因子，包括流程、人员、系统和外部事件等4种风险，接下来则是思考如何做到风险回应，并从保险、委外以及企业持续营运管理面向做到风险转移。

第三种安全思维就是，企业如何在资安事件下存活。万幼筠强调，金融业做资料和隐私保护等法规遵循要求只是起点；接下来必须要能与风险共存，将金融科技应用场景，整合到企业资讯安全架构中；接着在应变阶段，就必须可以控制并且针对不断进化的安全威协作即时监控调整，做到持续监控风险与强化管理能力。

第四种安全思维则是，环绕在网路空间的安全机制必须具备有效性和风险控管，他建议，可以先从网路安全进行风险评估，并且可以援引其他先进国家对于金融科技的监理规範和指引，像是PCI DSS的支付标准，或者是ISO 270017、ISO 27018的云端安全标准等，都可作为参考之用。

他表示，第五种安全思维就是必须意识到，传统资安管理的运作必须要转型，才能符合金融科技的特性，不论是金融科技服务身分识别与存取控制、资料与隐私保护、金融科技服务合规与治理风险、保障所有金融科技应用服务安全、金融科技服务的监控与预警、金融科技服务的持续性，以及确保金融科技服务平台与基础设施的安全性等，都必须要能够与时俱进有所转型调整。

第六种安全思维则强调，所有的资安作为都必须要能涵盖业务与IT的紧急应变与攻防演练，例如，超过80间美国金融机构与政府机关在2015年9月，一起加入美国证券既金融市场协会所举办的量子曙光3的网路攻防演练，就是实际模拟一旦美国证券交易所遭到骇客入侵、客户资料外洩或者是系统当机时候的紧急突发状况，应该要如何因应。万幼筠认为，所有的演练不在于不发生任何资安事件，而是一旦发生资安事件后，企业如何存活下来。

第七种安全思维由攸关企业的举证能力，他指出，有能力保留第一线发生资安事件现场的数位证据很重要，要可以确定是不是内贼，而唯有当企业具备还原真相与支持诉讼的数位鉴识能力时，才真正有自保的能力。

最后的安全思维是，要能力将传统资安防御能力，提升为威胁情资的对抗，也就是说，企业可以将外部的各种资安情资和内部资讯架构所遭受到的攻击与潜在弱点，都可以统一汇整到资安情资中心，就可以有效因应金融科技对金融业带来的资安风险。