張晉瑞 資誠企管顧問公司執行董事
近來國內爆發首宗銀行遭國際駭客攻擊事件,對我國正在起步的金融科技無異是當頭棒喝。金融科技浪潮下,企業講求創新、效率與擴大市占率,較容易忽略安全。許多企業採用敏捷式開發 (Agile Development) 的精神與方法,希望以較短的開發週期來因應快速變動的需求,但往往只考慮速度,忽略資安需求與測試,甚至將整個開發過程外包,安不安全、程式怎麼寫反而是其次,這與傳統嚴謹的安全軟體發展生命週期 (SSDLC) 觀念大相逕庭,如何融合兩者特點,讓開發過程兼具速度與安全,已是金融科技發展的首要挑戰。
面對新興技術,企業不一定有自身能力可掌握,外包因此非常普遍;實務上企業將開發過程外包,安全規格和要求卻很少寫清楚,主要是功能正確,迅速完成就好,且招標過程很難對顧問於資安的投入進行衡量,於是招標結果往往是價低者得,再加上市場上有資訊委外服務人員計價參考,在節省成本考量下,資安就像被秤斤論兩的商品,與硬體一體適用評選流程;這樣的心態與作法,如何能期待資安能落實於開發過程?
傳統的資安防護觀念就像是中古世紀在城堡周圍建立護城河和堅固外牆,以抵擋敵人入侵,主要著重在預防與保護,以降低資安事故發生的可能性。然而,在「萬物皆連網,萬物皆可駭」的世界,二十一世紀資安策略的風險管理方式,首先要接受「城牆遲早會被攻破」的事實,也就是接受資安事故終將發生,風險管理重點放在減少對企業衝擊。
面對未知的攻擊事件,企業應更全面思考,預先評估城牆會在哪邊被攻破。預防的成本遠低於發生危機事後補救的成本,特別是難以量化的信譽風險。企業不能被動等到遭受攻擊與損失後,才對新的網絡威脅作出回應,平日就可主動評估資安防護上的缺口 (Breach Indicator Assessment),建立資安事件處理流程並進行演練,以便在發生事故時迅速採取行動,主動面對資安風險與挑戰。
資誠觀察,現今大部分企業的資安防禦姿態仍停留在被動回應,認為砸大錢建置的資安設備應可發現惡意攻擊,但網路威脅沒發生不代表不存在,近日事件,給大家一個很大的啟發:惡意程式一定進得了企業內部網路,問題是,如何及時發現以避免更大的損失發生?PwC的新世代資訊安全策略轉型規劃,近來協助某金融機構整體評估資安防護上的缺口,並以鑑識科技的手法在過程中發現潛伏的惡意程式,這正是預防勝於補救、化被動為主動的轉型思維。
近來的駭客事件對台灣發展金融科技是一個省思的機會,我們追求創新、技術、速度的同時,更不能忽略風險的重要。資安是永遠做不完的專案,但不是補不完的破網,期望資訊安全與新興科技發展同步並進,這才是金融科技發展的轉機。