:::

全民國防

【全民國防】居安思危 正視銀行與金融機構安全防護

新聞圖片
新聞圖片

◎陳永全

 前言

 2016年7月7日當全國尚在關切臺北松山車站的林英昌爆炸案的事態發展同時,全國民眾擔心這是否是國內第一樁恐怖攻擊行動,事後經調查定調松山車站林英昌爆炸案屬於重大人為破壞攻擊,而非恐怖攻擊行動;然此事件尚未塵埃落定,3天過後的7月10、11日,10名來自俄羅斯及拉脫維亞籍的外籍車手們,分別於我國第一銀行臺北至臺中等22家分行、41部ATM自動提款機前,無須提款卡,更無密碼,竟直接從提款機盜領現金新臺幣8327萬元,創下我國有史以來遭駭客攻擊銀行及金融機構竊取鉅款之首例。此一事件提醒我們如何在既有的銀行金融機構之關鍵基礎設施防護作為上,尋求精進作為,以期建立國家金融秩序維持之機制及強化我國銀行與金融機構資訊與實體安全之確保。

 網攻增多 形式愈趨複雜

 我國第一銀行於英國倫敦設置分行,駭客從遠端入侵該分行電腦伺服器,在這些惡意的攻擊程式中,有一個用於刪除檔案的批次檔(cleanup.bat),透過系統內建加密刪除工具(sdelete.exe)來移除藏在ATM內部所有的惡意攻擊程式和相關檔案,使犯案過程絲毫不留任何的痕跡;我國檢調單位之所以能迅速破案,是因為法務部調查局資安鑑識團隊發現境內有一部ATM在執行惡意程式攻擊中,自毀程式執行失效才留下了破案的線索。

 美國關鍵基礎建設網路安全(Cyber Security of Critical Infrastructures in Americas)報告調查20個國家超過575家政府與民間企業,53%的受訪者發現,專門針對國家關鍵基礎設施(Critical Infrastructure CI)的網路攻擊愈來愈多,另有76%表示此類攻擊愈來愈複雜,另有44%受訪單位曾遭受惡意刪除程式與資訊破壞式攻擊。

 2017年5月15日我國政府、多數企業、公司行號、個人電腦亦遭受勒索病毒攻擊(Ransomware attack),勒索軟體是一種特殊的惡意攻擊軟體,又稱阻斷存取式攻擊(Denial of access attack)與其他電腦病毒最大的不同在於手法以及中毒方式。勒索軟體有兩種方式,其一是將受害者的電腦鎖定,另一種方式則是以系統式加密方式在受侵入者的電腦上使電腦作業完全無法運作;基此,參照先進國家作法,美國在2015年金融機構服務部門特定計畫中(2015 Financial Services Sector-Specific Plan (SSP))明確提出,制定銀行及金融機構服務部門特定計畫之主要目的,是進行整體環境的風險評估,建構公、私部門間夥伴關係與密切合作機制,特別是針對公、私各部門間網路安全能力的提升與改善,並運用5種方法與手段達成目的(詳見右上圖表)。

 銀行與金融服務機構關鍵基礎設施,仰仗依賴電力與網路的技術需求甚重,是以,相關部門對於資安防護與安全維護管理均有高於其他關鍵基礎設施的認知與職能所需,參考國內重大案例與國外先進做法,將有助於我國建立銀行與金融機構關鍵基礎設施防護機制與能量。

 依據威脅制定防護計畫

 人們對危安意識的強烈與否,取決於我們對於威脅來源的感受程度與安全認知,據此,安全防護計畫的目的,將依據威脅來源的情資蒐整與偵知能力,決定安全防護計畫中行動方案與準據的具體作為,同理,我銀行與金融機構在人員、設施實體與資訊安全3大面向上的防護作為應可依此邏輯、程序、步驟、要領,制定防護安全計畫,參酌威脅種類設計情境想定,在合理、可操作的範圍與情況下,實施模擬測試與兵棋推演。準此,將可於推演與測試中發掘安全防護不足之處,藉以尋求資源的挹注與支援的投入,在縱向上將可獲得指揮鏈的指導與防護作為之行動準據,在橫向上始可獲得跨部會與跨領域的專業單位整合支援與協防。

 我國金融監督管理委員會,(簡稱金管會)所轄銀行局、證期局、保險局、檢查局等金融機構,均是國家關鍵基礎設施中重要的一環,上述單位的持續營運管理與功能安全維護之確保,對於穩定國內經濟發展與金融秩序責任重大,不容忽視,因此在管理資訊系統(Management Information System MIS)、管理與維護單位的資訊系統架構、網路架構、防毒措施及整合通信系統(Integrated Communication System ICS)的通信系統架構、防止斷訊干擾措施等安全防護作為上,均需有高於一般常規的標準,方能因應未來可能的威脅與攻擊。

 結語

 銀行與金融服務機構是與民眾生活息息相關的重要關鍵基礎設施,如何能透過思維的轉變與高新科技之運用,建立服務機構與民眾應有的危機意識與安全防護機制,是面對不預期的威脅與危險最佳的防範應變處置方法,「戰勝不復,應形於無窮」,我國第一銀行的教訓與經驗已為我們立下最佳安全防護典範。

(作者為國防大學戰爭學院教官)

友善列印

相關新聞

熱門新聞