金融資通安全管理與因應之道-以A銀行ATM盜領案為例

前 言 近年資通訊技術的蓬勃發展與快速變遷，翻轉個人與組織的資訊運用模式，而現今與未來所面臨的資安法律議題及風險，更加複雜多元化，需要透過新的視野進行思考與問題解決方式。 2015 年世界經濟論壇 (World Economic Forum, WEF) 就提出全球風險報告，即已預警網路攻擊不斷擴大與升級、網路資料偽造與竊取事件將層出不窮，美國聯邦貿易委員會 (Federal TradeCommission, FTC) 同年公開的網路安全建議報告中，也指出智慧型裝置可能衍生更多的隱私與安全議題，包括個人資料濫用、駭客攻擊等風險，皆需加以正視與因應。於此趨勢下，資安風險涉及類型多樣化，伴隨而來的法律議題也挑戰我國資安體系。 以 2016 年 7 月台灣第一銀行 ATM 盜領案為例，遭國際犯罪組織植入惡意程式，以遠端遙控 ATM 自動吐鈔，被盜領 8,327 多萬元，成為台灣金融史上最嚴重的 ATM 盜領案，也引發台灣社會大眾恐慌，雖台灣警方追回 6 千多萬元，但真正的遠端駭客尚未找到。 由此事件得知，資訊安全已經跟人民生活息息相關，重要性和影響力也越來越大。所以我們將探討資通的安全與因應之道。

區塊鏈 Block Chain 定義 什麼是區塊鏈（ Blockchain ）？ 區塊鏈（ Blockchain ）是一種利用網路達成的分散式、去中心化的資料運算、保存平台。以前在交易時需要第三方控管整個交易穩定，並且需要一個能夠大量儲存交易資料的地方，區塊鏈打破了這個運作方式，以去中心化的方式運作，區塊鏈把資料庫分別放在不同的電腦裡保存，並且互相監控數據，資料更動需要經過其餘電腦的共識同意。與以前單個資料庫一個不同的點是，區塊鏈裡的電腦會利用分散式運算加快交易、儲存資料速度，而在儲存資料的同時以加密的方式保護資料，在資料交易的過程中，也不需要額外經手第三方驗證。 區塊鏈目前總共有實名、匿名制兩種類型，非實名制則有近年來知名的比特幣作為代表，像鈔票一樣不強制記名，但也因為其匿名制度遭到詬病，有的比特幣交易所因此也會要求實名開戶。目前世界上大部分的區塊鏈產品都是屬於實名機制。 區塊鏈的應用非常廣泛，目前以金融科技界最盛，因為區塊鏈技術的 Trust Machine 將可以大幅度的降低銀行的後台成本與出錯可能。運作模式如下，當有一個交易產生後，每一台電腦都會同時開啟一個區塊放置其資料並且驗證，驗證最快的電腦將會將此資料放入它的區塊鏈當中，其餘電腦則會刪掉紀錄。若是在驗證過程中發現資料有誤，該交易則會自動失效。除了金融類的應用外，區塊鏈也可以用在產品履歷上。將區塊鏈套用在生產履歷後，每一個產品的來源、生產過程、中繼都會被記錄下來，整個生產鏈將會透明化而且可以做到上游的溯源。 區塊鏈的優點包括迅速、交易透明、並且能夠追查每一筆資金的來源、隱私保護措施良好等，但還是可能會有缺點包括，在公平原則下，有可能性能較好的電腦可以得到較多資料、再好的系統還是有可能遭到破解方面等議題，另外由於需要取得多方電腦的驗證，交易時間還是會比傳統如信用卡等支付方式長。 除了金融類的應用外，區塊鏈也可以用在產品履歷上。將區塊鏈套用在生產履歷後，每一個產品的來源、生產過程、中繼都會被記錄下來，整個生產鏈將會透明化而且可以做到上游的溯源。 區塊鏈的優點包括迅速、交易透明、並且能夠追查每一筆資金的來源、隱私保護措施良好等，但還是可能會有缺點包括，在公平原則下，有可能性能較好的電腦可以得到較多資料、再好的系統還是有可能遭到破解方面等議題，另外由於需要取得多

第一銀行 ATM 盜領案 事發經過 7 月 10 日凌晨 5 點半，一名頭戴黑白帽和大口罩的男子，走近臺北四平街市場附近的一銀吉林分行 ATM 提款機，一把一把地，接連從提款機吐鈔口，拿出一疊疊厚鈔，不需提款卡，沒輸入任何密碼，甚至不用接觸 ATM 就能領錢，彷彿像電影情節一般， ATM 成了一臺源源不絕地任意吐鈔的機器。不只這家分行， 7 月第二個周末凌晨，第一銀行臺北和臺中市合計有 22 家分行共 41 臺 ATM 都遭人清空，累計遭盜走了 8,327 萬 7,600 元。 透過綿密的監控設備，逮到洗錢的嫌犯並追回贓款 警方案發不久就能鎖定可疑嫌犯，正是因為臺灣有一套綿密的監控視訊系統。 惡意程式具備自毀匿蹤能力，事後追查難度高 在警方大動作追人追款之際，調查局也沒閒著。事情發生後，第一銀行先將發生金額短少的 41 臺 ATM 設備，陸續送到調查局的資安鑑識實驗室進行檢測，希望從中找到任何蛛絲馬跡，回溯駭客可能的入侵路徑。 調查局發現，一銀倫敦分行是駭客入侵的端點之一 找出了惡意程式，確認 ATM 遭駭，但是這些惡意程式從哪來是下一個要解決的問題，再加上這些木馬都不具備遠端連線功能，無法透過駭客常用的 C&C 跳板伺服器來遙控，駭客勢必得遠端手動操控才能執行。 調查局連夜請一銀倫敦分行的主管趕回臺灣，同時帶回 3 顆硬碟，包括了遭駭伺服器內的 2 顆硬碟，和遭入侵 PC 的硬碟。 不過，調查局調查工作還未結束，還有其他可能受駭的主機正在鑑識中，調查局資安科科長周台維一再強調，一銀倫敦分行的受駭主機，只是可能受駭的主機之一，還有其他可能性，調查局不排除，除了一銀倫敦分行之外，駭客還從其他可能的受駭主機端點入侵。 駭客集團 6 階段入侵 ATM 根據調查局所揭露的資料，可以將駭客入侵一銀 ATM 的流程，分成 6 個階段，階段 1 、從分行入侵內網 階段 2 、建立內網潛伏基地 階段 3 、暗中蒐集入侵情報 階段 4 、 ATM 入侵準備 階段 5 、開啟 ATM 遠端控制 階段 6 、植入 ATM 控制木馬，發動盜領

ISO27015 資訊技術 - 安全技術 - 對金融服務的資訊安全管理指南 介紹 這是在幫助指導金融服務機構（銀行，保險公司，信用卡公司等）使用 ISO27k 標準實施 ISMS 。 儘管金融服務行業的風險和安全標準廣闊下已經提供勞務 （如 ISO TR 13569 “銀行業信息安全指南”， SOX 和 Basel II / III ），通過 SC 27 制定的資訊安全管理體系實施指南體現了 ISO 27001 和 27002 與各種通用安全標準，如 COBIT 和 PCI-DSS 要求一起。 範圍和目的 ISO27015 放大和擴展一些在建議 ISO27002 的金融服務機構例如，建議安全意識的活動應涵蓋客戶，而不僅僅是員工。它給種認識的消息說，認為銀行奉勸廣播到員工的例子如關於身份竊賊使用鍵盤記錄木馬、網絡釣魚和社會工程，以竊取客戶的登錄憑證制度。總體來看，在 ISO 27015 的額外的指導可能不是革命性的，但它是一個有用的提示，遠遠超出了基本的 ISO 27002 在少數地區建議。 該標準的現狀是發表在 2012 年 11 月。 這是一個技術報告，而不是一個國際標準，通常是說：“這是專業發展的領域，我們是不是完全滿意”的 ISO 的辦法。 該標準是由於進行修訂，以反映 2013 年發行 27001 和 27002 。只有三個變化是由一個國家機構提出的，這意味著在保持這個標準可以忽略不計利息。 一些金融業的聯絡機構和 SC 27 名專家的提議撤銷它，而不是 - 一個明顯的跡象，表明他們並不重視它，而實際上它可能適得其反（在已經受到嚴格監管的行業徵收又一遵守障礙） .. 。這樣的修訂項目已被取消，並在適當時候 ISO27015 將被撤銷。

ISO27002 ISO/IEC 27002 是由 國際標準化組織 及 國際電工委員會 所發表的一個 資訊安全 的標準，其標題為 「資訊科技 - 安全技術 - 資訊安全管理作業法規」。 ISO/IEC 27002:2005 是由發表於西元 1990 年代中期的英國標準 BS7799 所延續發展而來。 這個英國標準被 ISO/IEC 所採用，成為 ISO/IEC 17799:2000 ，並在西元 2005 年的時候有過更新。西元 2007 年時被重新編號以便與其他 ISO/IEC 27000 系列一致。 ISO/IEC 27002 提供了一種最佳實踐 方式用來初始化、實作、及管理的一套資訊安全系統。資訊安全的定義在 C-I-A 三原則 可找到。 所謂的 C-I-A 三原則是指必須保護 C- 機密性 ( 確保只有被授權存取的使用者能存取資訊 ) I- 完整性 ( 保護資訊與處理程序的準確性與完整性 ) A- 可用性 ( 確保被授權的使用者在他需要存取資訊的時候一定能存取得到 ) ISO27002 則是企業在發展資訊安全管理系統 (ISMS) 中所需之作業規範也是企業在導入資訊安全計畫中，一項廣為全球尊重和引用的標準。 ISO27001 與 ISO27002 的關係密不可分。 SO27001 、 ISO27002 分析圖

ISO27001 信息技術 - 安全技術 - 信息安全管理體系要求 (Information technology-Security techniques-Informationsecurity management systems requirements) 。 隨著資訊科技日益普及，人們對於資訊系統的仰賴與日遽增，然而近年來不時發生各式病毒攻擊、駭客入侵、資料竊取等事件，在使得資訊安全的重要性逐漸成為各方關注的議題。 推動資訊安全工作，主要涵蓋的層面包括人員、作業流程和資訊技術，要如何將此三者串連起來，最好的方式就是建置一套適合組織的資訊安全管理制度。目前，實務上最好的參考指引就是國際資訊安全管理標準 ISO 27000 系列的規範，接下來的文章，將會說明如何協助組織導入符合標準要求的資訊安全管理制。 一談到資訊安全，大多數人的直覺反應就是在抵擋駭客入侵，但事實上，這只是其中的一小部分而已。過去，許多企業組織對於資訊安全的投入，主要都是著重在技術面的資安基礎建設，例如建置網路防火牆、防毒軟體和入侵偵測系統等，希望藉由安裝資安軟、硬體設備來加強網路安全，以抵擋來自企業外部的各種資訊安全威脅。 ISO 27001 要求組織應該要在整體業務活動與其所面臨的風險之下建立、實施、運作、監控、審查，並且維持和改進一個已經有文件化的管理制度，如果要確保它可長可久，就必須要運用 PDCA 。 圖 3-1 ISO27001 架構圖 ISO 27001 共有 11 個項目、 39 個控制項， 以及 133 個控制要點。 所謂的 11 個項目分別為 1. 資訊安全政策訂定與評估 2. 資訊安全組織 3. 資訊資產分類與管制 4. 人員安全管理與教育訓練 5. 實體與環境安全 6. 通訊與作業安全 7. 存取控制安全 8. 系統開發與維護之安全 9. 資訊安全事件之反應及處理 10. 業務永續運作管理 11. 相關法規與施行單位政策之符合性    這 11 個資訊安全範圍 39 個控制目標是 11 個項目下再細分 133 個控制要點則是   39 個控制項 目標下再去細分的