【臺灣資安大會直擊】第一銀行副總劉培文：銀行面臨數位轉型需打造新型數位安全架構，連帶資安典範也要跟著轉移

今年，臺灣資安大會的主題是韌性決勝（Resilience Matters），第一銀行資訊管理中心副總經理劉培文在8月12日舉辦的金融安全論壇專場，以一個淺顯易懂的比喻，來解釋資安與韌性的關係。他提到，如果將河岸堤防譬喻為資安的防護，那麼韌性需要考慮的除了修築堤防，還得考慮當堤防擋不住百年洪水的時候，沿河的居民要如何快速遷移，讓居民生活不因這場洪水而被中斷。

劉培文進一步指出，資安是企業經營面臨的風險之一，而企業應對風險的態度與方式，決定了企業的韌性。他提到，如果企業的文化與價值觀長期不重視資訊安全，或對資安有錯誤的認知，會導致這家企業的資源錯置，還有流程也會不成熟到位，使得資安事故發生的機率大幅增加。而在發生資安事故的當下，就沒有辦法做好的應變。

在談企業的資安防護，劉培文認為，談技術與管理做得到不到位，其實是落後指標。「資安防護的領先指標，是企業的價值觀與文化」，企業能不能掌握自身的實際狀況，同時掌握外頭環境發生的變化，透過變革領導，來決定資源如何做重新分配，才能持續應對資安的變革甚至其他風險。

把資安事件危機視為轉機，是建立企業韌性重要環節之一

在2016年發生的ATM盜領案後，劉培文坦言，這對第一銀行（以下簡稱一銀）帶來一場貨真價實的震撼教育，從董事會到各個高階主管，對資安都有了深刻的體認，就像是打了疫苗一樣，資安事故衝擊帶來的集體記憶，直到3年後的今天，他觀察到，這樣的效益仍然存在。「對企業來說，得把資安事件看作把危機化為轉機的機會，這也是建立企業韌性重要的一個環節。」劉培文強調。

他更提到，也因為這樣的效益，一銀過去3年多，在資安的資本投資的預算，都是ATM事件發生之前的2倍，也做了30幾項的資安建置專案，像是EDR、虛擬上網、檔案清洗、網路區隔等，基本上都是為了強化終端的設備，因為這過去在一銀的環境是較被忽略的弱點。

在資安防護的投資上，劉培文提醒：「資安設備絕對不是萬靈丹」，每一種資安設備都有其長處與它的限制。此外，許多事情即便買了資安設備也無法解決。比如，ATM事件後，一銀花了2年多時間，把海內外全行的網路架構重新檢討調整，伺服器重新盤點，再移置到適當的位置。他解釋，如果不做這些清理調整，資安監控人員每天得花上許多時間處理雜訊，根本沒有時間去處理真正的資安訊號。

企業推動資安事件應變與資安系統架構工程，需成立資安專責部門

除了要了解資安設備的長處與限制，劉培文提到，大多數時候，許多資安設備偵測到的情報含金量，相對是低的。所以，必須把不同設備並聯或串接，建立起資安訊號放大器，可以把各別設備監測到微弱的訊號放大，讓隱藏的威脅或弱點，可以提早偵測到。

劉培文強調：「資安防護的重點是，在採購的各種有形的資安設備之上，把無形的資安情資訊號放大器建立起來。」他解釋，這樣的放大器連結的可以是企業內部的資安設備與設備間，也可能是ISAC與企業內部設備間，也許是VA／PT資安檢測流程與資安應變的流程。它是資訊與資訊間的轉換與加成、系統與系統間如何做到自動介接，以及流程與流程之間怎樣因應外在狀況的不同，能夠動態串連。

他進一步提到，針對這樣的資安系統架構工程，市場上也開始有新的技術解決方案，像是SOAR（Security Orchestration, Automation and Response）就宣稱可以將威脅情報平臺、資安監控平臺、事件應變平臺等，透過劇本（Playbook）把這些東西串起來。不過，劉培文表示，這些解決方案還很新，導入時要花許多時間調校劇本。所以，最重要的核心點是，他提到，尤其是銀行過去大部分是資訊部門凌駕於安控部門，沒有技術人員扮演訊號放大器，也就是類似CSIRT團隊的角色，提升監控的效率與速度。

然而，要推動資安事件應變與資安系統架構工程，劉培文強調，就需要專責的資安單位與專業的資安人員來實現。一銀在ATＭ事件的隔年，便決定成立資安專責部門，組成了數位安全處，並將資訊處安控部移轉到數位安全處，改名為安全管理部外，還增加了安全技術部。

他提到，原本資訊部底下的安控單位人員的工作，包括資安管理與落實安控、內稽內控等仍然很重要。但是，一定要有人去掌握分析內外部的資安威脅情報，等於是資安防護系統架構的構成，必須要有自家的專責團隊來負責。

此外，金管會要求超過兆元資產的銀行與保險公司，都要設立獨立的資安專責部門，劉培文表示，資安專業人才難尋。好在金管會近期提出金融資安行動方案，金管會願意協調周邊單位開設金融資安人才養成專班，訓練更多資安人才。

企業推動資安得注意資訊、資安兩部門的溝通

不過在實務上，劉培文表示，成立了資安專責部門，現下的問題反而是資訊部門與資安部門要如何分工合作。即便可以清楚地定義這兩部門的職責分工，但仍有許多灰色地帶講不清楚。以長期發展的工作，比如銀行的數位轉型，現階段可能根本無法清楚定義資安部門應該扮演的角色或承擔的責任；但是，他坦言，現在資安部門若不參與，再過了2到3年後，系統已開發完成、數位產品都上線，那就來不及了。

資訊與資安單位磨合的這段時間，他提到，總是會有本位主義或者涉及部門績效的問題，反而是企業在推動資安，真正要去注意的事情，否則長期下來就可能造成部門間的摩擦。一銀的作法是，在資安推動的組織設計，成立了資安管理小組，該小組是由資訊處與數位安全處組成，由劉培文親自主持聯席會議，讓雙方在分工合作上得到共識。

此外，「資安絕對不只是資訊與資安單位的事情」，必須有機制讓企業從上到下，包括董事會一直到每位員工，都知道自身應負的資安責任。而董事會則需從企業治理的角度，讓資安成為企業治理的一環。

傳統銀行面對數位轉型，也須打造新型數位安全架構

然而，劉培文表示，這些作為仍是以傳統銀行的資訊架構與傳統分行業務的思維所設計，以邊境防禦及核心固守的企業資訊架構為前提所做的事情。

他進一步表示，傳統銀行不只面臨駭客帶來的資安威脅，更面臨BigTech、FinTech及即將要開放的純網銀，這對銀行來說是經營風險。為了要因應這些經營風險，傳統銀行必須盡快擁抱數位轉型，從商業模式、數位產品、到資訊系統及架構都需要全面革新。劉培文比喻：「資安事故就像颱風、地震，是短期的災害；但是，數位轉型對傳統銀行的衝擊不下於全球暖化。」這也意味著，資安也必須打破邊境防禦及核心固守的思維，打造新的數位安全架構。

劉培文提到，以信用貸款系統舉例，傳統銀行的資訊系統是從客戶提出申請、進件、銀行照會、審核、核貸結果通知與申覆、對保簽約到最後撥款使用，都在eLoan系統上由銀行行員操作，而系統是渾然天成，無法切分。

但，隨著開放銀行的發展，可能貸款客戶會先在比價平臺進行比價，所以，銀行必須在第一時間，就透過API將核貸試算金額傳送給比價平臺。所以，他表示，銀行就必須將原本eLoan系統，像樂高積木一樣重新把功能拆解，可能必須要用微服務、開放API因應新產品的需求。而面臨系統爆量需求，也可用容器化方式，讓系統架構能向外擴充。

一銀也觀察到，各家銀行推出行動銀行、數位存款帳戶後，顧客登入手機銀行查看銀行帳戶的頻率變高。甚至，未來在開放銀行架構下，顧客可能一人下載了好幾個App，都綁定銀行的帳號，又或許TSP那邊的App自動每半小時登入客戶的銀行帳戶檢查一下，使得銀行每年要付出的大型主機CPU費用也同樣會大幅增加。

業務帶來的變革，使得銀行採取的資安典範也要轉移

劉培文指出，這也代表業務帶來的變革，讓銀行的資訊架構、流程、軟體工程等也會改變，相對帶動銀行採取的資安典範也要跟著轉移。就以資安檢測為例，現在的系統是需求談好開出規格，系統設計與開發完成後，功能測試完再交給資安單位做資安測試後才能上線，過程得花上1到2年的時間。

然而，因應數位轉型，這樣的方式沒辦法應付市場的變革，得用敏捷開發、CI／CD、DevOp。劉培文提到，未來，也許由資安人員操作資安檢測軟體的過程被轉換成script，程式人員開發的過程中，開發完的模組馬上就做測試，朝向Security as Code的方向發展。所以，他強調，軟體的資安測試未來絕對不能只有在新開發或改版上線前才進行，銀行必須建立可以持續執行的自動驗證機制。

不只資安檢測，劉培文更列出需要因應數位轉型，來調整的12個面向。包括設備升級（APIM、WAF）、建立資料管理標準、建立API標準、建立資安管理標準、Cloud-Ready資訊架構、數位軟體安全（DevSecOp）、智能化資安監控、供應鏈安全管理、資安共享生態圈、隱私保護、法令遵循、數位轉型治理。

他更指出，像是資安監控、供應鏈安全管理及資安共享生態系，可能對大部分銀行來說都是新議題。在資安監控，過去銀行的許多監控設備，是由網路層、傳輸層的攻擊訊號來發現惡意行為。

不過，開放銀行後，駭客可能會先攻擊TSP後，再假冒TSP客戶透過API向銀行發出交易指示。這時從銀行角度來看，是合法的客戶與交易行為，無法從網路流量判斷是否為駭客入侵、攻擊行為。劉培文表示：「資安監控須朝向智慧化、自動化、高階化邁進，並與應用及產業知識結合來判斷。」

而銀行與TSP夥伴之間的關係，得回到供應鏈安全下手，資安更將轉變為共享責任。在資安監控，金管會將推動金融機構SOC與二線SOC協同運作，劉培文認為，如何將TSP業者納入金融資安共享體系將是重大挑戰。因為，「這是供應鏈的關係，大家被綁在一起，沒有人能獨善其身。」此外，不光是銀行在業務上要發展生態系，資安本身也要往生態系的方向前進。

劉培文強調，銀行的治理方式必須轉變，要往數位治理的方向前進。對於資安從業人員來說，除了顧好每日工作，別忘了外頭的世界已經在改變，從韌性的角度，資安部門也有責任去了解外面的數位變革，將對企業造成何影響，這影響也會決定企業資安的資源與流程該如何改變。文⊙李靜宜