傳統的銀行借貸,都需要針對個人的資產做過完整的評估之後,銀行才會根據評估報告決定借貸的金額和利息。但是,現在金融科技(FinTech)興起,卻改變了金融業的借貸型態,可以透過社群的信用評等,決定你借貸的額度。
不過,金融科技在改變傳統金融業營運型態的同時,勤業眾信風險諮詢公司總經理萬幼筠則特別提醒,隨著金融科技發展與金融面貌的改變,資安議題將不斷擴大影響範圍,早期由銀行工會發展出來的安控規範,現在已經無法切合金融業的快速的發展需求。他也提出八大因應金融科技的安全思維,讓金融業可以在擁抱金融科技的同時,可以和資訊安全並存。
FinTech改變金融業使用者體驗,帶來新的業務型態
傳統的金融業包含保險、銀行和證券等三大業務範圍,提供包括壽險、產險、消費金融、企業金融和證券股票等金融服務。不過,萬幼筠表示,現在的社群技術、物聯網、雲端運算、身分識別技術、行動技術、機器學習、大數據和區塊鏈等新興技術,已經徹底改變傳統金融業的服務內涵,像是保險供應鏈的重組,讓傳統保險服務更為社群化、平臺化,更帶來新興的保險型態,像是線上(社群)保險、P2P保險或IOT保險等。
另外,他也說,新的身分識別技術也改變消費金融的授信方式,因為改變資金來源,讓媒合機制與信用評等平臺化,帶來P2P借貸的新業務型態;行動技術帶來無現金、數據驅動、平臺化和低交易成本的特色,則支持新型態支付模式的發生;包括機器學習和大數據等技術,改變了服務供應方式並提升效率,也產生新的業務模式,像是機器人理財與零售演算交易平臺;而最熱門的技術名詞區塊鏈(BlockChain),則改變原本金融服務的交易基礎架構,區塊鏈讓數據可以做到更加精細化應用及平臺化,像是那斯達克(Nasdaq)就利用區塊鏈技術重新打造一個新型態的交易平臺。
因為新的科技改變使用者的使用體驗,也迫使金融業必須跟上這一波金融科技的改變浪潮,萬幼筠表示,資安議題在金融科技領域上,更持續擴大影響範圍,舉例而言,目前是在金融科技環境下,所謂的傷害概念,早已不僅限於單純的金錢。
面對各種網路攻擊速度和頻率不斷提升,他指出,金融業應對的時間要求也越來越短,加上金融科技的複雜性,迫使所有的金融業者,無法只是以過往那種大一統的防護標準,來因應每一種金融科技帶來的不同風險;在此同時,金融業仍無法拋棄傳統但已經不敷使用的控制措施。
因為金融科技可能帶來全新的業務型態,萬幼筠認為,法規遵循將是資安影響力最關鍵的聚焦所在,但他也坦言,要把技術和法規的需求拉在一起,確有其難度,要讓傳統保守的金融業和技術社群對話也很困難。
金融科技為金融業帶來5大風險
不管金融科技喊的如何震天價響,但2016年對所有金融業而言,都不是一個好過的年,從今年1月開始,就傳出英國匯豐銀行因遭到DDoS攻擊,導致網路銀行停止服務將近一天;3月傳出孟加拉央行遭到駭客盜領8,100萬美金;4月則傳出香港的匯豐、中銀8證券帳戶遭到駭客入侵,領取未經授權的股票交易金額686萬;5月除了越南的先鋒銀行差一點被駭客轉走120萬歐元外,在日本的Seven、Enet銀行以及郵局等ATM提款機,則被盜領18.6億日圓。
到了今年6月,DAO則遭到駭客領走超過360萬個以太幣,價值超過7,200萬美元;7月臺灣則發生第一銀行ATM遭到駭客盜領7千多萬元,所幸盜領金額多數已經追回;8月除了在香港發生Bitfinex遭竊,損失近12萬比特幣(約7,800萬美元)外,香港、菲律賓RCBC因為孟加拉央行盜領案所延伸的洗錢案,被菲律賓央行裁罰十億披索;9月時,金管會則針對包括中信、富邦、國泰、元大、日盛、大眾及永豐等7間銀行的國際金融業務分行(OBU)開戶相關作業的亂象,開罰400萬元~600萬元。
即使金融業面臨如此多的狀況,仍無法忽略金融科技為金融業帶來的機會,萬幼筠直指,金融科技為金融業帶來的是風險也同時是機會。他指出,金融科技帶來的策略風險,讓產業有更多的產業發展選項,讓產業更有競爭性,可以自行發展、併購、結盟,並進行國際趨勢和本地市場的綜觀;就法規遵循與治理風險上,金融科技帶來新的商業模式,讓主管機關必須面臨更多的不確定性,且需設法針對新的產業型態做相關的產業法規遵循調適。
金融業最在乎作業暨財務風險,萬幼筠表示,無論是既有流程的效率化或是商業模式創新,都應該考量既有控管是否可以有效降低作業與財務或者是信用等風險。
其中,金融科技的風險最主要來自數據和治理兩個面向,他認為,金融業面對資料治理風險時,必須做到因應資料驅動、資料管理與分析,並在數位化過程中,好好控管所面臨的個資管理與機密資料外洩等風險;面對網路與資訊治理風險所隱含的社群、行動、雲端與物聯網特性,讓企業更加數位化的同時,確也必須曝露在更多的網路安全風險下。
從8種安全思維,因應金融科技帶來的衝擊
金融科技為金融業帶來風險也同時帶來機會,在這個必須與風險共存的時代中,萬幼筠表示,資訊安全已經脫離IT部門就人員、流程和技術做風險管理的層次,現在,金融科技對金融業帶來的資安衝擊,不是單純IT部門的事情,更必須提高到董事會和經營管理委員會中,由管理階層面對的風險治理議題。這也是美國國家標準技術研究所(NIST)和美國聯邦金融機構檢查委員會(FFIEC)的安全風險治理邏輯,必須由董事會、經營管理委員會承擔起資安管理角色的風險治理思維。
第二種面對金融科技的安全思維,則是要思考如何把金融科技和金融機構的作業風險管理(ORM)機制做結合。萬幼筠表示,首先要能夠辨識風險因子,包括流程、人員、系統和外部事件等4種風險,接下來則是思考如何做到風險回應,並從保險、委外以及企業持續營運管理(BCM)面向做到風險轉移。
第三種安全思維就是,企業如何在資安事件下存活。萬幼筠強調,金融業做資料和隱私保護等法規遵循要求只是起點;接下來必須要能與風險共存,將金融科技應用場景,整合到企業資訊安全架構中;接著在應變階段,就必須可以控制並且針對不斷進化的安全威協作即時監控調整,做到持續監控風險與強化管理能力。
第四種安全思維則是,環繞在網路空間的安全機制必須具備有效性和風險控管,他建議,可以先從網路安全進行風險評估,並且可以援引其他先進國家對於金融科技的監理規範和指引,像是PCI DSS的支付標準,或者是ISO 270017、ISO 27018的雲端安全標準等,都可作為參考之用。
他表示,第五種安全思維就是必須意識到,傳統資安管理的運作必須要轉型,才能符合金融科技的特性,不論是金融科技服務身分識別與存取控制、資料與隱私保護、金融科技服務合規與治理風險、保障所有金融科技應用服務安全、金融科技服務的監控與預警、金融科技服務的持續性,以及確保金融科技服務平臺與基礎設施的安全性等,都必須要能夠與時俱進有所轉型調整。
第六種安全思維則強調,所有的資安作為都必須要能涵蓋業務與IT的緊急應變與攻防演練,例如,超過80間美國金融機構與政府機關在2015年9月,一起加入美國證券既金融市場協會(SIFMA)所舉辦的量子曙光3(Quantum Dawn)的網路攻防演練,就是實際模擬一旦美國證券交易所遭到駭客入侵、客戶資料外洩或者是系統當機時候的緊急突發狀況,應該要如何因應。萬幼筠認為,所有的演練不在於不發生任何資安事件,而是一旦發生資安事件後,企業如何存活下來。
第七種安全思維由攸關企業的舉證能力,他指出,有能力保留第一線發生資安事件現場的數位證據很重要,要可以確定是不是內賊,而唯有當企業具備還原真相與支援訴訟的數位鑑識能力時,才真正有自保的能力。
最後的安全思維是,要能力將傳統資安防禦能力,提升為威脅情資的對抗,也就是說,企業可以將外部的各種資安情資和內部資訊架構所遭受到的攻擊與潛在弱點,都可以統一彙整到資安情資中心,就可以有效因應金融科技對金融業帶來的資安風險。