【臺灣資安大會直擊】創新與資安如何兼顧？5家銀行高階主管揭露各自秘訣

在2019臺灣資安大會的一場金融安全論壇，金管會主委顧立雄親自開場致詞，金管會副主委黃天牧也揭露金管會金融政策中，與資安防禦相關的四大金融資安監理作為。

不只金融業主管機關對資安重視，金融業者包括玉山銀行暨玉山金控資訊長謝萬禮、第一銀行資訊長劉培文、將來銀行籌備處策略長吳建頤、台北富邦銀行數位金融顧問李維斌、台新金控資訊長孫一仕，也在這場論壇，針對金融產業的創新與資安防護，進行對談。

「金融創新的同時，還得顧及金融資安，對資訊主管來說，是很大的挑戰。」玉山銀行暨玉山金控資訊長謝萬禮點出關鍵。他解釋，銀行資訊單位被賦予的責任是金融創新發展與各方應用，然而要創新就要快速迭代開發，同樣也會因應很大的資安風險。

玉山銀行暨玉山金控資訊長謝萬禮

謝萬禮也認為，與其應外部壓力而做金融創新與資安，倒不如思考如何透過機制，導入方法，用更開放的思維擁抱改變。因為，「當我們不改變，別人也會來改變我們，世界不斷前進，若不踏入未來的領域，遲早會被顛覆。」

然而，在金融創新上，心態的改變才是關鍵。他舉例，一家企業若期許要讓資訊科技，成為企業最重要的核心競爭力，引領企業變革與數位轉型，這樣的思維與格局，就會大大不同。但挑戰是如何把理念，說服老闆們與經營團隊。

在資安議題上，謝萬禮認為，駭客的企圖與想法與過往完全不一樣，過往駭客是要練功夫展現實力，接著要偷走個資拿去賣，現階段是要從企業把金錢轉出去。然而，一次的資安事件，會讓企業過去建立的品牌信用與聲譽受損，而且可能是無法預估的損失。但，他也認為，有些資安現象，可以改變老闆對資安投資的看法，當他們了解到資安風險，以及可能會對企業造成的損失，就會更加願意投資資安。

做好資安得先盤點企業資訊資產，並落實全體人員資安意識

「資安已經變成金融業基本的條件與要求。」但是，金融業內部的網站是否能終生防禦？謝萬禮指出，得下不少苦工夫，企業要做好資安，得先盤點自有的資訊系統、資訊資產，以及資料的重要性，也只有踏踏實實地全面盤點過後，才知道哪些東西要放在最重要的保險箱。而在資安投資上，得依據企業的系統環境，面臨的風險，逐步編列中長期預算。

然而，謝萬禮也強調，最重要的是落實銀行人員的資安意識，包含第一線營業單位的人員，尤其是手上握有高權限帳號的特殊人員、IT人員。他坦言，資安意識若沒有在內部建立起來，企業即便做再多資安投資，都是沒有效果的。

過去，人人期待駭客不要找上門，謝萬禮認為，企業現階段得要轉變的觀念是，假設病毒、駭客、木馬程式已經進來自家了，要做的事就是在他們潛伏的活動時間內，早一步阻攔他們偷走資料或把錢轉出，「這就代表我們資安的成功。」他說。

謝萬禮也強調，資安聯防很重要，靠單一銀行的力量很難面對外部挑戰，怎麼讓更多人共同分享資訊，是一大課題。他也建議主管機關，除了懲罰外，也要有正面鼓勵，例如有金融業者在駭客達到目的前，完成阻攔動作，並把這樣的機制分享出來，主管機關可以給出鼓勵，業者就會更願意把資訊分享出來。

金融創新與資安都是風險，最難是企業價值體系與文化，決定你不能做什麼事

「董事會看金融科技對傳統銀行帶來的威脅，就像是全球暖化，而資安則是像颱風或地震，短暫的時間就可以感受到衝擊。」這是第一銀行資訊長劉培文的觀察，他提到，就像2016年一銀ATM遭駭事件，因為曾經發生過資安事件，所以一銀從上到下在推動資安是更通順的，也包括成立數位安全處。

第一銀行資訊長劉培文

他也指出，金融創新與資安，對於銀行的經營階層來說，都是風險，只是規模不一。談到資安，許多人第一個喊出的就是需要資源，但劉培文可不這麼想，他認為，有資源就能決定要做的事情，「但最難的是企業的價值體系與文化，決定你不能做什麼事情」。

劉培文提到，以企業經營的角度來說，傳統銀行進行數位轉型的挑戰更大，因為過往的經營模式已經很成功，所以認為發展金融科技帶來的獲益不夠。當養成了這樣的價值觀，就不會選擇做創新的事情。不過，他也觀察到，這樣的價值觀與文化已經在銀行逐漸改變，可能也會讓創新與資安的資源與SOP開始轉變。

「資安單位人員絕對不能只懂資安，必須要懂金融業務，了解金融創新在做什麼，又如何與外部跨業合作。」劉培文強調，銀行得要有一個機制，讓資訊安全單位的人員加入IT單位、業務單位、創新單位的作業。

金融創新得小步快跑，實踐資安需是生態系思維

台北富邦銀行數位金融顧問李維斌表示，因為銀行業是高度監管的產業，所以要從老舊系統（legacy）的觀念，轉到創新（innovation）是困難的。而創新也代表不確定性，根本無法預測導入服務後，會帶來什麼影響。我們得要小步、快跑，才能應付現在的變化，這樣的作法會讓不確定性漸漸降低。

李維斌表示，現在的金融服務不是一次到位，而是一步步去擴充規模(scale)。而銀行的基礎設施能否應付未來的需求，就很重要。此外，他也談到資安、個資隱私很重要，複雜度也很高，不是單一家銀行就可以解決的，得由民眾、政府監管單位的認知做起，讓整個生態系都必須起來，才能實踐資安。

台北富邦銀行數位金融顧問李維斌

金融創新與資安，得在風險、方便性與成本間取得平衡

台新金控資訊長孫一仕談到，金融創新較偏向在業務模式上，科技的應用則是讓業務模式創新的工具，對於底層的技術，他相對沒那麼擔心。在金融創新部分，他個人認為，未來銀行的趨勢會是異業結盟，也就是開放API，因為異業結盟會帶來更多連結，不管是人或是應用。

而在資安的觀察，孫一仕提到，銀行通常都是發生了資安事件，高層的關注度就會變得非常高。他也揭露台新在金融科技與資安的方向，雖然「做資安是沒有止境的，也沒有辦法保證百分百安全。」但台新會持續在風險、方便性與成本間取得平衡，讓科技工具發揮效果，也要讓台新全行的人員都有資安意識，例如，台新在內部常做社交工程演練，就是希望持續提升人員資安意識。

孫一仕也強調，資安聯防很重要，沒有一家金融機構能保證資安能夠做到百分百安全，彼此資訊通知、聯防才是上策。

台新金控資訊長孫一仕

推進金融服務時，資安防護如何與便利性平衡是將來銀行的思考方向

將來銀行籌備處策略長吳建頤則是觀察到，使用者的行為在轉換，金融服務在推進的時候，資安防護要如何與便利性平衡，是重要課題。對於有機會重新打造一家純網銀的將來銀行籌備處來說，如何在手機上做到相對安全，又能讓便利性達到一定程度，會是他們思考的問題。

吳建頤更認為，資安這件事情不一定只是企業資安團隊的責任，或許用戶也可以為自己的資安把關。他舉例，去年線上信用卡偽冒交易，臺灣就損失了21億臺幣，或許客戶可以在信用卡的App上，把信用卡電子商務相關的交易直接關掉，或是客戶明明不出國，就可以直接把國外的交易關掉。「用戶可以用自己的力量，去控管他認為是資訊安全匯流的漏洞。」若能做到安全又兼顧便利性，會是將來銀行要去嘗試的方向，吳建頤說。

將來銀行籌備處策略長吳建頤

金融業數位化過程，最後一哩路是身分驗證

在現今的零信任時代，金融業如何保全自身與顧客？李維斌表示，信任是一段旅程，也是讓社會更容易往前走的重要因素，建立信任需要時間，而且禁不起打擊。而銀行要從交易（transaction）到與顧客建立關係（relation），要經營的就是信任。李維斌也直言，大家都不喜歡銀行，但是銀行還是相對被信任的單位，所以銀行要繼續走到下一步，就是要與年輕族群建立關係。

謝萬禮則認為，顧客對企業的信任是日積月累，金融創新與資安佈建與意識也一樣，只有累積、沒有奇蹟。他也指出，金融業在數位化過程，遇到最大挑戰就是身分驗證，這是最後一哩路，若有好的機制可以實踐，相信對臺灣金融業對數位線上服務，會有大的變革與不同的樣貌。

最後，謝萬禮也提到，不管是金融創新或是資安議題，企業經營還是要回到初衷，了解外在世界環境的改變、顧客行為的改變，以及顧客遇到的痛點，而企業是否有解決顧客的問題。文⊙李靜宜