今年七月,第一銀行ATM遭俄羅斯犯罪集團盜領新台幣八千多萬元,無獨有偶,八月稍早,泰國政府儲蓄銀行(Government Savings Bank)的ATM亦遭類似手法入侵及盜領,損失約新台幣一千多萬元。今年以來,亞洲區域金融機構遭駭的情形層出不窮,今年二月,孟加拉央行海外帳戶遭駭客盜走8100萬美元,甚至向來重視資訊安全的日本,也在今年五月發生14億日圓在三個小時內,從17個城鎮的一千四百多台便利商店ATM被盜領的事件。可見金融犯罪已進化到了網路連線與電子紀錄等科技工具,而駭客犯罪集團的目標,也從針對個人的詐騙或勒索,轉移到有連網及流通大量金錢的銀行等金融機構。
每日處理大量金流的金融業,理應具備更高的資訊安全意識與防備等級,金管會頒布的「內部控制及稽核制度實施辦法」明文要求金控公司及銀行業就業務及交易建立資訊安全防護機制及緊急應變計畫,而銀行公會制定的「金融機構辦理電腦系統資訊安全評估辦法」更具體地規定資訊安全的評估標準,包括資安評估範圍及週期、評估執行項目與評估單位資格,以及定期演練社交工程入侵的必要性等。然而,上述「資安評估辦法」對於銀行資訊架構、網路活動、網路安全檢測、弱點掃描、合規確認等,雖均有詳盡規定,遭駭的第一銀行更早已取得ISO 27001資安認證,亦完成ISO/IEC 20000:2005資訊服務管理標準驗證,卻仍然無法防免駭客入侵及盜領,金融業者究竟應如何提升安全防備以免受害?
透過對此次第一銀行遭駭事件的分析,我們可以歸納出資安防備的一些建議:首先,本次遭駭的ATM皆為十年前的機種,所使用的Windows XP作業系統微軟官方已於2014年停止支援,且不會再提供任何安全更新,但駭客卻不會停止對安全漏洞的研究,造成銀行使用官方停止支援的作業系統越久,系統與交易服務越是曝露在資安風險中。
其次,ATM雖是駭客的最終目標,在控制ATM之前,駭客集團通常使用低調的手法,從極小規模的入侵開始,在不被探測發覺的情況下,緩慢地擴張控制範圍,直到取得ATM的控制,這樣的手法業界稱為APT(進階持續性威脅)。最初可能只是某行員遭到釣魚信件騙得帳號或植入惡意軟體,在取得該員的電腦控制權後,駭客會緩慢地探查該電腦所能連接的企業內部網路,尋找安全防護較弱的伺服器,並逐一攻克,直到接近駭客的最終目標。由於這些駭客的低調行動,都是在企業內網發生,資訊活動看起來與銀行的日常作業並無太大差別,所以不容易察覺。
ISO 27001等資安認證,雖然涵蓋許多資訊作業程序的安全管理,但是那只能做為資訊安全的底線(Baseline),不能當作資訊安全的保障(Assurance)。譬如要防範釣魚信件的欺騙,銀行員工的資安意識有賴於持續且有效的資安教育訓練來建立與提升。而對於企業內部網路的監控與強化,則需要系統安全與網路安全的專業人員來建構維護,這些都不是取得資安認證就可以達到的效果。
強化銀行資安的第一要務是「資訊資產管理」,應清查重要的資訊資產,如果有任何不安全的軟硬體或過時的系統,必須安排期程做更新或強化。如有必要使用不安全的系統,則必須列入風險評估,且準備IR(資安事件對應)計畫,以防萬一。
其次,不可因為是企業內部網路就掉以輕心,需時時遵守「最小權限原則」(minimum required privilege)。譬如這次第一銀行倫敦分行遭駭的錄音系統伺服器,因為無業務上需求,就不應該擁有連結本行ATM軟體派送伺服器的權限,這給駭客提供了攻擊成功的缺口。
最重要的,金融機構必須有專業的資訊安全團隊。IBM的報告指出,擁有專職資安團隊的企業,在遭受資安攻擊時可大幅減少可能損失。擁有專業的資安人才,能夠檢視評估企業系統安全,選擇導入所需的資安防備系統或機制。擁有專職CERT(Computer Emergency Response Team)團隊,更是能在遭受攻擊時,第一時間做出最恰當的處置,讓傷害減到最小。