一般人和銀行往來,除了利率和優惠,已經有越來越多臺灣民眾在意,銀行是否可以提供安全的交易環境,是否可以被信任。這一切,都要拜第一銀行發生ATM盜領事件所賜。但是,要變成一個重視安全的銀行並非一蹴可及,需要長時間的重視以及大量資源投入。
總部位於新加坡的星展銀行長期將安全視為最重要的營運核心,也曾經連續在2009年~2013年,被全球金融雜誌(Global Finance)評比為亞洲最安全銀行(Safest Bank in Asia)。臺灣星展銀行資訊暨營運處資深副總裁王聖棨認為,該銀行對安全重視不僅是由上而下的重視,也將對於資安的重視,融入在員工日常的作業流程中,他說:「星展銀行最終目的就是要,提供亞洲各國民眾一個可以信任且可安心交易的銀行服務。」
對安全的重視是從上而下,忙不是忽略安全的藉口
對於安全的重視,一定得由上而下才有可能貫徹,星展銀行更是將安全放在營運的第一優先。王聖棨就回憶他剛剛上任時發生的一件糗事,也因為有這樣的親身經歷,更深知不厭其煩的重視安全,已經內化成星展銀行的企業文化。
舉例而言,星展銀行新加坡總部有一個科技暨作業風險論壇的會議,一周是各國負責IT基礎維運的主管開會,隔周就是各個作業部門的主管開會,擔任主席的主管,兼管科技和作業風險,在集團中的位階僅次於執行長,也藉此彰顯集團對這個風險論壇會議的重視。
王聖棨說,所有IT主管在參與風險會議中,都必須報告各國當周軟體安全更新的進度,星展銀行對此也有一套自己的計算方式,假設,該月微軟有2個伺服器的漏洞必須進行安全性更新,而臺灣星展有100臺微軟伺服器,他在這個會議中要報告的內容就是,臺灣總計要完成200次的安全更新任務。
他上任後,第一次遇到微軟每個月第二個星期二的安全更新日,當週,剛好所有的IT同仁都在忙著上版,原本要完成的微軟安全更新也來不及做完。他當時並不知道星展對於安全性更新的重視程度,他只在心中想說,要完成的安全更新任務的次數雖然看起來有點多,但實際的系統弱點數量並不多,加上當周部門同仁都在忙,延後完成這個安全性更新任務,大家應該是可以理解的。
只不過,當他人在會議中,聽到各國IT主管報告需要進行的安全更新任務的進度時,他深深覺得不妙,因為,每個國家還沒有完成的安全更新任務大多是0~10次之間,當時只有臺灣報告的次數破百。
而他回報是因為IT部門當周太忙,來不及完成相關的安全更新任務時,主席更直言,「忙,不應該是破壞星展重視安全架構的藉口。」會議後,各國的IT主管也紛紛詢問有沒有可以提供協助之處,他才趕緊跟大家說,只需要給他時間,就可以立即把安全更新任務的進度追上。從那以後,臺灣也和其他各國一樣,平均沒有完成的安全更新任務,都維持0~10次之間。
對安全的要求,也落實在作業流程和軟體安全更新上
除了高階主管對安全的重視是毫無疑問之外,星展銀行對於日常作業流程中的安全性,也非常重視,寧可是多增加員工作業流程上的一些麻煩手續,也要確保安全第一。
最常見的例子就是,登入電子郵件系統的密碼必須要定期更新,一旦密碼到期後,必須重新核發密碼時,星展銀行密碼核發流程很清楚,就是不會有單一的人,有權核發完整的密碼。
王聖棨表示,當他登入電子郵件信箱的密碼到期要更新時,登入密碼直接會被拆成兩個部分,一個部分是由直屬主管核發給他,另外一個部分則是由資安部門核發。他表示,這樣的作法看似麻煩,卻也大幅降低密碼外洩風險,也不會因為有人可以拿到完整密碼,而盜用他的身分和權限登入電子信箱。
連這麼基本核發密碼的流程,都早就是標準作業程序,更遑論星展銀行對於各種軟硬體設備「有效期限」的重視。王聖棨說:「很少看到有銀行,對於軟體的升級更新如此重視。」
他指出,星展銀行對於軟體安全更新相當在意,像是微軟XP作業系統在2014年4月8日終止支援,不再提供任何安全性更新,對該銀行而言,微軟XP就是一個不安全的產品。IT部門為了確保銀行交易的安全性,一定要事先規畫軟體升級;如果來不及,也必須和業者簽訂延伸服務,再編列軟體升級預算。
最終,所有銀行使用的軟體或是硬體設備,都必須可以在可以確保安全性的前提下,才能繼續使用,否則,就得設法升級或汰換,沒有其他妥協空間。也因此,在微軟XP終止支援後,星展銀行絕對找不到任何一臺還在使用微軟XP的電腦和ATM。
其他像是星展銀行對於某一些簽核流程,也同樣有極高的安全性要求,他表示,主管要登入網站進行費用核銷時,除了主管使用的電腦必須事先經過公司認可外,也因為星展銀行不信任無線網路的安全性,當主管要核銷費用時,必須使用公司的有限網路,將網路線插入主管的電腦後,才能進行核銷費用。
他說:「從這些點點滴滴可以發現,星展銀行對於安全思考不僅細膩,更不厭其煩落實在每個工作細節中。」
每年不定期社交工程演練,強化員工資安意識
不只重視安全性更新,星展銀行清楚知道社交工程的釣魚郵件,更是銀行日常作業的潛在資安威脅,因此,該公司每年都會不定期的做社交工程和釣魚信件演練,藉此提升員工資安意識。
王聖棨表示,前一陣子才剛完成的社交工程演練,就是公司主管收到大老闆寄來的信,夾寄客訴信件的附加檔案,一般而言,只要主管和員工一點到信件中的連結,就會被植入惡意程式。
例如,這次演練的主管來信,因為是從外部寄送的郵件而有標示外部信件外,其餘很難分真假,事後,也會從頭教導主管和員工,應該要如何判斷該封郵件是惡意郵件。
如果員工真的難以判斷卻又有懷疑時,他表示,星展銀行原本就已經事先提供員工一個固定轉寄可疑郵件的信箱,無法判斷的可疑信件都可以寄到這個電子信箱,就會有專門的資安團隊檢視相關的可疑郵件,除了有各種資安工具,協助判斷和掃描是否是真的惡意郵件,甚至也會在沙箱環境中,執行該郵件附檔以確認是否真的是惡意程式等等。
一旦確定有問題,該團隊也會立即回信告知使用者要立即刪除該信件並不要再對外轉寄;如果轉寄的信件是機敏郵件,因為星展銀行對於機敏郵件都會採取加密措施,而密碼也同樣必須來自兩個不同的管道,負責檢視惡意郵件的團隊,不會因此看到機敏檔案的內容。
打造靈活有彈性的私有雲環境,善用開源增加競爭力
銀行的作業流程都和錢息息相關,保守、穩健是外界對於銀行的共通印象,只不過,世界一直在變,科技一直在變,總部位在新加坡的星展銀行,也因為和星國政府有密切的合作,在轉變銀行體質的金融科技領域上,和官方與科技團隊保持密切合作,慢慢有一些成績。
星展銀行為了打造有利金融科技發展的工作環境,新加坡總部率先採用微軟Office 365雲端辦公室,協助員工跨部門的溝通效率,未來也將逐步將這樣的雲端辦公室推展到其他18個市場和全集團2萬2千名員工。
有了可以創造良好溝通的環境後,星展銀行也持續鼓勵員工擁抱數位思維,像是,舉辦黑客松就可以讓星展的員工與新創團隊合作,一起進行腦力激盪,找出更有效解決銀行維運實務上所面臨的難題。
因為看到雲端服務可以大幅改善銀行運作的效率,王聖棨表示,新加坡總部也開始打造自己的私有雲(VPC),像是先把x86伺服器加上虛擬化技術,打造一個銀行內部的私有雲環境,搭配妥善的自動化工具,可以更彈性的提供開發部門和應用系統部門所需要的環境。
例如,需要測試環境時,有這樣的私有雲機制,就可以在很短的時間內就提供給內部成員使用,就不用像以往一樣,還得慢慢上簽呈、慢慢採購、再慢慢提供給使用者使用。
目前新加坡總部已經在評估,推測一臺x86伺服器保守可以做40~50個虛擬機器,加上新加坡夠快的網路環境,適合導入Active-Active 的私有雲架構。
王聖棨表示,理論上,新加坡的資料中心可以減少三分之一伺服器的數目,資料中心的空間也可以減少三分之一,預計也可以節省一定的成本,但因為目前還沒有真正實作,節省的比例還有待推估。
此外,他也說,星展銀行也同時在評估,是否可以從原本採用的商用軟體,開始改用開源的軟體,像是雲端作業系統等,並且將原本委外的一些費用,用來招募銀行內部(In-House)的維運人員,透過這些IT策略方向的規畫和落實,星展銀行將可以成為一個更有效率且更有彈性的銀行。
從臺灣IBM這樣的供應商角色,轉到臺灣星展銀行任職,是王聖棨人生的一大轉捩點,他認為,除了可以體驗區域銀行不同於本土銀行的視野和高度外,也讓他更深入金融業的實際運作,對於金融IT的發展可以有不一樣的體會。
CIO小檔案
王聖棨
星展銀行資訊暨營運處資深副總裁
學歷:淡江大學管理科學研究所系統分析組碩士
經歷:1990年退伍後的第一份工作就是臺灣IBM的資訊工程師,在IBM工作25年,曾經在香港、臺灣與中國IBM擔任不同角色,不僅服務金融業客戶,也歷練電子商務、生物科技領域;在2015年6月加入臺灣星展銀行,擔任資訊暨營運處資深副總裁
公司檔案
臺灣星展銀行
● 子行成立時間:2011年
● 主要業務:提供企金、消金、外匯業務與財富管理等金融服務
● 資本額:300億元
● 總部:位於新加坡
● 臺灣員工人數:1,700 人
● 2015年營收:93.09億元
● 董事長:王開源
● 總經理:陳亮丞
資訊部門檔案
● 資訊部門名稱:資訊管理暨應用系統部
● 資訊最高主管:王聖棨
● 直屬主管:營運長楊真理
● 資訊部門人數:約80人
● 資訊部門分工:分成資訊管理、應用系統、資安管理及資訊風險控管等業務單位
IT部門大事紀
● 1983年:進入臺灣市場,成立臺北分行
● 2008年:承接寶華銀行業務
● 2010年:新一代核心系統上線,ATM 全面更新,與新加坡總行技術接軌
● 2012年:臺灣星展銀行子行正式營運
● 2013年:將臺灣主要業務系統外包給新加坡總行,建立跨國支援體系
● 2014年:取得個資BS10012個資安全認證
● 2015年:積極推動數位銀行及金融科技,舉辦黑客松及開始導入新型態業務