© Copyright Fortinet Inc. All rights reserved.

從FinTech角度看金融資安未來

2018/11/15

2

梁文奎 資訊安全長

現職： » 臺銀證券股份有限公司 管理部經理暨資訊安全長

經歷： » 臺銀證券股份有限公司 信安分公司經理、稽核室副主任、代理總稽核、風險管理部經理、經紀部經理

» 證券暨期貨市場發展基金會兼任講座-證券業務人員職前訓練班-證券交易前檯實務

演溝者介紹

金融科技發展

4

金融業者投入金融科技調查 88％金融業者投入金融科技

含銀行、財富管理、保險、投信投顧及金融科技相關新創業者在內， 88.2％已導入金融科技，投入金額甚至已占總預算13％

資料來源：2018年9月 遠見雜誌

5

金融與科技的結合已為全球趨勢 •網路交易的去中心化分散式

帳本技術，目的在於提供安

全、降低成本、縮短交易時

間與提高透明度，並降低對

第三方機構的需求。

區塊鏈(Block

Chain)

•透過機器學習，模擬人鄉認

知功能，在接受其所在環境

的條件下，並採取最大限度

的行動，以達成所需要完成

的目標。

人工智慧(AI)

•允許不同的設備發送和接收

數據，以實現更好的連接性、

資料處理與分析。

物聯網(IoT)

•資料來源多元、種類繁多，

大多是非結構化資料，將原

本無關聯的資料，串成對客

戶有價值、對營運有幫助的

資訊

大數據(Big

Data)

•提供 靈活性，並提高生產

力，並以更低的成本實現更

高的效率。

雲端科技

(Cloud)

6

•基於區塊鏈技術推出股權管理和交易平台

•銀行放款採用區塊鏈技術，減少流程縮短作業天數

•透過追蹤與分析區塊鏈上的交易（如比特幣、其他數位貨幣的位址）

•在法規許可下，建立風險監控與詐欺防治的客戶資訊網路

•區塊鏈支付

區塊鏈（Blockchain）

•運用人臉和語音的生物辨識來驗證企業用戶

•運用臉部辨識進行信保評估

•進行網路入侵檢測

•進行小型企業貸款審核、用機器學習進行資金流向分析

•採用機器人執行交易

•於網銀 app 中使用虛擬客服回答消費者提問

•開發以網頁為基礎的的虛擬助理，提供客戶財務建議

人工智慧(AI)

金融與科技應用

7

金融與科技應用

•行動支付

•業務流程管理

•遠端結算

•物聯網保險

物聯網(IoT)

•客戶專屬理財機器人智慧服務

•協助銀行控制信貸風險

•消費行為分析，更準確地判斷合適的產品廣告投放地點，以提高中間收入

•通過對主力和散戶的行為、軌跡分析，對主力資金和散戶資金的去向追踪，對主力、散戶和市場之間的關係理解，能夠很

好地增加投資勝率

大數據(Big Data)

•數位銀行，如王道銀行

•純網銀，如日本樂天銀行、大陸微眾銀行、網商銀行

雲端科技

8

證券業在金融科技的發展

1.業務全面推動電子化交易。

2.由電子交易逐步完整線上數位化服務.。

3.客戶分流、差異化與客製化服務。

4.線上線下Online to Offline虛實整合。

5.發展全球金融商品交易及國際化資產配置投資工具。

6.發展財富管理業務，提供多元國際化資產配置。

7.大數據分析及機器人理財服務。

8.區塊鏈智能合約與帳聯網。

9.參與社群金融或經營社交投資平台。

資料來源：群益金鼎證券

金融科技資安威脅

10

金融業資安不斷遭受外部威脅

2017年2月

• 13家券商集體遭

DDoS(分散式阻

斷服務攻擊)勒索

2017年8月

• 台新、大眾證券

再次遭到DDoS攻

擊

2017年10月

• 遠東商銀國際匯

款系統SWIFT發

生交易系統異常，

駭客盜轉了18億

元匯款到海外三

國

• 尼泊爾 NIC 亞洲

銀行國際匯款轉

帳SWIFT系統遭

到駭客以假匯款

通知，企圖轉帳

4.6億盧比

2018年1月

• 荷蘭三大銀行公

布，它們的網絡

系統在過去一周

不斷遭受網絡攻

擊，導致網站和

互聯網銀行服務

癱瘓

2018年5月

• 智利銀行遭到惡

意程式入侵，造

成個人電腦及伺

服器無法開機，

駭客再趁亂利用

SWIFT網路盜轉

銀行金錢

2018年8月

• 印度銀行遭駭客

入侵，包括ATM

伺服器入侵與國

際匯款系統

SWIFT盜轉，約

有9.4億盧

11

臺灣史上第一次券商集體遭DDoS攻擊勒索事件 發生時間2017年1月24日~2月7日

» 發生原因 開春，臺灣就爆發了有史以來第一次券商集體遭DDoS攻擊勒索事件，全臺79家券商中，先後有十多家券商收到勒索信件，其中13家的網站下單系統更實際遭DDoS攻擊，平均短暫停擺了半個多小時。

» 損失影響 13家券商單日平均交易金額加總起來，近206億元，占股市每天整體交易量637億元（以2月8日估算）的3成。

2017年~2018年國內重大資安事件(1/3)

12

2017年10月遠銀SWIFT系統遭駭資安漏洞重罰800萬 » 發生原因

遠東國際商業銀行的國際匯款系統SWIFT發生了交易系統異常，駭客盜轉了18億元匯款到海外三國，遠東銀行在3天後的傍晚對外公開，立刻震驚了全臺。

駭客熟諳遠銀內部，入侵遠銀內網後，先設法刪除7個防毒程序後，執行一支勒索軟體，來加密部分電腦中的檔案，一來隱匿入侵盜轉匯款痕跡，讓遠銀誤以為只是系統遭植入加密勒索軟體。

» 損失範圍 匯出款項總金額約6,010萬美元(約台幣約18億元)。

目前已追回多數款項，但確定仍有16萬美元無法追回。

2017年~2018國內年重大資安事件(2/3)

13

2018年8月3日台積電產線中毒大當機事件 » 發生原因

人為操作疏忽，未依照SOP。

新機臺上線程序，須先通過防毒軟體檢測，才能上網。安裝人員先將機臺連上網路，再進行防毒處理。此新機臺內有病毒，在未經網路隔離及防毒檢測下，連上台積電生產網路，造成大規模感染。

此次感染病毒為源自於去年5月肆虐全球的勒索軟體WannaCry之變種，這些設備使用的作業系統為Windows 7，尚未進行安全修補。

» 損失範圍 預估營收衝擊將高達52億元

2017年~2018年國內重大資安事件(3/3)

14

國內重大企業資安頻頻出包資安支出逐年提高

資安風險

業務需求 產業變化

帶動資安支出的前三大因素：

Gartner：2018年全球資安支出將超過1,140億美元，年增12.4%。 台灣今年在資安支出可望成長13.9%，達218億元 2019年將持續增長11.6%，達到243億新台幣。

2020年以前將有超過40%企業組織，因為數位轉型計畫的風險管理和隱私疑慮而增加資安服務支出。

金融科技資安未來

16

數位轉型以符合金融科技風險 金融科技服務身分識別與存取控制

» A.9 存取控制

資料保護與隱私保護 » A.8 資產管理

金融科技服務合規風險與治理風險 » A.18 遵循性

行動應用App基本資安檢測基準(行政院) 雲端運算、社群媒體、行動裝置資訊安全自律規範(證券商) 物聯網IoT控管指引(證券商)

» A.11 實體與環境安全 » A.14 系統獲取、開發及維護

金融科技服務的監控與預警 » A.12 作業安全

金融資訊安全防禦聯防體系統「金融資安資訊分享與分析中心(F-ISAC)」

金融科技服務的持續性 » A.17 營運持續管理與資訊安全層面

金融科技服務平台與基礎設施的安全性

17

數位轉型之隱私安全 雲端資訊安全防護

身分識別與存

取管理

資料的安全

• 資料不外洩

威脅防護與

安全性管理

18

數位轉型之風險管理 區塊鏈資訊安全防護

• 1.不被竄改、滅失及遺漏

• 2.資料不外洩(加密)

資料的安全性

• 能否在不停止系統運作的情形下，修補智能合約內所存在的漏洞。

技術層面的安全性

• 在所有應用層上的防護，基本面是回歸到全面性的資訊安全防護網中。

• （一） 愈重要的核心系統必需建立愈嚴謹的白名單執行觀念

• （二） 應用程式層往往無法有效保留應有之稽核日誌

• （三）內部管理瑕疵，任何的資安防禦，最難的地方往往是人的防禦，愈重要核心的地方則應避免單人作

業可能造成的損失。

應用層面防護

19

• 預設憑證常成為殭屍網路並入侵連網裝置。

變更預設的憑證。

• 易受攻擊的路由器(如：Wi-Fi路由器)導致易受攻擊的網路可讓使用者掌握所有連網裝置，同時維持隱

私與生產力。

強化路由器安全性。

• 裝置的預設設定應加以檢查，並依照使用者的需求進行修改。建議自訂功能並停用不必要的功能，以

提高安全性。

設定裝置以確保安全。

• 啟用防火牆並使用 Wi-Fi Protected Access II (WPA2) 安全通訊協定以增加保護。

實作附加安全措施。

數位轉型之風險管理 物聯網資訊安全防護

多層次安全防護 從閘道到端點

20

建立資安防護系統

預防與分析 事前 發現與調查 事中 交換分析與分享 事後

偵測與發現事件 供夥伴早期預警 提供威脅警訊

事件通報 事件處理

誤漏警示回報 處理狀況回報

事前監控

•SOC7*24資安監控

事中通報

•證券期貨市場資通安全通報系統

•F-CERT(金融網路危機處理中心)

事後分享

•F-ISAC(金融資安資訊分享與分析中心)

事件交換 情資分享

事件預警收送

21

資安防護基準-事前監控預防 證交所推動資安防護基準

管理面

•資通系統分級及防護基準

• ISMS推動及通過第三方驗證

•資通安全專責人員

•內部資通安全稽核

•業務持續運作演練

技術面

•安全性檢測

•資通安全健診

•資通安全監控管理機制 SOC

•資通安全 防護縱深

認知與訓練

•資通安全 教育訓練

•專業證照

22

資通安全通報機制-事中通報調查 證券期貨市場資通安全通報系統

初步通報

•知悉事件30分鐘內辦理

正式通報

•於查明事件後儘速辦理

解除通報

•事件處理完成後

23

事件交換與情資分享-事後分享 金融資安資訊分享與分析中心(F-ISAC)

24

證券業之資安防護強化

• 資安通報系統

• 證券期貨業緊急應變小組

• 證交所提供證券商技術支援

• 資安資訊分享平台(F-ISAC)

•主管機關資安查核

• ISO27001外部查核

• 證券期貨市場資安會議

• 董事會報告資安執行情形

• 資安人力配置

•DDoS攻擊防護

•物聯網(IoT)控管指引

•雲端運算、社群媒體、行動裝

置資訊安全自律規範

•推動資安防護標準 體質

強化

風險

管理

事件

應變

法令

遵循

THANK YOU