国内金融业因应电脑犯罪的防范现况

國內金融業因應電腦犯罪的防範現況勤業眾信會計師事務所企業風險管理組副總經理萬幼筠2006/5/19Agenda背景金融業電腦犯罪實例介紹金融業安全防護措施概述所面臨的相關議題背景金融業為高度列管的産業相較於其他産業，金融業被視為高度列管的産業，在資安防護上已建立不錯的水平，也累積了相當多的資安處理相關經驗新巴塞爾資本協定(Basel2)作業風險管理與資訊安全相關之要求公開發行公司建立內部控之實施規範行政院資通安全會報對國內重大產業之列管電腦處理個人資料保護法銀行業建立內部控制實施要點VISA與Master等國際組織對資訊安全之查核要求金融業電腦犯罪事件仍層出不窮許多的金融業電腦犯罪事例，對民眾的使用信心及金融秩序已造成衝擊xxxx年xx月，台北市刑大電腦犯罪組則查獲國內首宗網路電子銀行遭駭客入侵網路銀行盜領客戶存款的案件，邱姓嫌犯利用網咖店的電腦破解被害人帳號密碼，成功盜領馬姓民眾一百一十萬元。某證券交易商被駭客入侵，遭冒名炒作及違約交割，使其他客戶權益嚴重受損金融業易受電腦犯罪衝擊的主要原因一旦犯行得逞，所得不法利益多近年來金融機構大幅採用開放式系統架構，有先天上的風險，給予有心人士可乘之機新金融商品不斷推陳出新，大量運用新資訊科技，流程控管嚴謹度與自動化的程度成反比內部資訊作業人員可利用權限劃分上的不良，對資訊系統中所儲存的資料，進行修改和更新，不易被及時發現。內部控制措施的薄弱，給有心分子以可乘之機。所處理業務的快捷性，使案件造成損失的可能性增大。跨行通匯業務的便捷性，使資金匯兌至全國範圍能即時到帳所處理資料量的龐大，一旦有心人士得逞，能短時間內獲取的的量的機密敏感性資料金融業所實施的監督大多採取對既有文件或機制作事後監督，少有即時監抭反應的的機制作業人員資安認知及專業技能認知的不足與金融機構業務相關之電腦犯罪種類未經授權的存取阻斷服務攻擊偷竊蓄意破壞，毀損商業間諜行為電腦詐欺挪用公款或盜用客戶存款智財權的侵犯盜用盜賣客戶資料網路釣魚擾亂金融交易秩序信用卡盜用及詐欺金融業電腦犯罪實例介紹金融業電腦犯罪實例–I:內部行銷人員推廣業務缺乏個人資料處理安全認知，無意中觸法而不自知金融業電腦犯罪實例–II,有心人士利用網路釣魚的方式，竊取他人網銀帳號密碼，遂行不法意圖金融業電腦犯罪實例–III,網路銀行系統開發過程疏失，有心人士利用介面程式的漏洞進行攻擊金融業電腦犯罪實例–IV,有心人士利用作業系統的漏洞，入侵某金控入口網站，植入木馬程式下載點。民眾一旦造訪此金控入口網站，個人電腦會於不知不覺中被植入木馬程式金融業安全防護措施概述國內金融業開始重視科技範疇以外的防範措施•權責分工•人員安全與代理機制•人員取存管制•安全認知•控管政策與流程•作業文件與標準流程•營運持續規劃•法令規章遵循•Basel2•國內金融法規•授權管理•BusinessContingencyPlan•積極的安全稽核•Liability&Insurance•實體安全•系統取存控制•電腦與網路安全•入侵防禦與事件因應•身分驗證技術•系統開發與維護•備援管理一但任何一個環節斷裂則安全就不存在開始著手由作業流程中來辨識重要的保護標的及控管弱點建置較為系統化，結構化的風險管理機制1.資訊保護標的2.資訊作業流程3.資訊資產收集4.安全控管選擇5.資訊安全規範軟體資訊資產硬體人員資料／文件威脅弱點價值各項辦法、程序及細部辦法與表單資訊安全政策經風險評估後之控管項目原有之控管項目新增之控管項目235441建置更為全面的安全防護架構實體性控制技術性控制行政性控制資料和資訊資產行政性控制政策、標準、程序、規範、教育訓練、稽核..技術性控制存取控制系統、加解密系統防火牆,防毒軟體實體性控制機房設施,安全警衛,門鎖,監視系統..Administrative,technical,andphysicalcontrolsworkinasynergisticmannertoprotectacompany’sassets.採用國際標準(ISO27001)來建置資安防護架構其他具體的防範舉措高層管理階層的允諾及支持積極而主動的委外管理培養資安專業的人才在網路安全上採用主動式的新科技以有效地避免、偵測及反應反制有心人士的不法入侵舉動加強身份認識的機制及技術等級利用較強的加密技術，保護資料的儲存及傳輸法令遵行架構的強化及定期審查緊急應變機制的建立及演練備援及復原機制的建立及演練所面臨的相關議題金融業在對抗電腦犯罪方面所面臨的窘境沒有共通及適當的標準程序，多仰賴過去的實務經驗及外部支援沒有充分的管道及資源來分享成果及事件經驗沒有合適的工具協助作應變，市面上大部份的工具著重在事後分析，無法對進行中的活動進行立即分析國內的相關法規、司法系統，執法機關尚未作好準備過多的資料容量，複雜的科技環境及高速的網路環境讓證據資料的收集更加困難加解密及檔案消除科技的精進及大量運用，對數位證據搜集過程形成威脅專業人員及相關技能養成不易