樂天國際銀行總經理佐伯和彥在臺灣資安大會進行主題演講,以日本樂天銀行經營20年純網銀的經驗,分享樂天網銀的資安之道。(圖片來源/iThome)

臺灣資安大會在今天(5/4)於南港展覽館二館正式登場,樂天國際銀行總經理佐伯和彥在大會進行主題演講時,以日本樂天銀行經營20年純網銀的經驗,分享樂天網銀的資安之道。

佐伯和彥以行政院政務委員唐鳳先前的演講內容作為開場。當時,唐鳳在演講中曾提及,面對Covid-19 疫情,如果可以讓每個人的傳播能力,降低到1以下的話,就可以有效控制整體疫情。這樣簡單的公式,為佐伯和彥帶來很大的提醒,他認為,許多事情只要透過簡單公式,其實可以讓政策做更多有效的應用。即便是套用到銀行業的資安作法,也是相同的道理。

佐伯和彥加入籌備臺灣這家樂天純網銀之前,早在2000年,就已經參與了日本樂天銀行的前身eBank籌備設立純網銀的過程,並在團隊中擔任行銷和營運的負責人,也在日本樂天併購eBank後,一路參與了日本樂天銀行的發展至今,可以說是日本樂天純網銀的元老級人物。

佐伯和彥表示:「防範金融犯罪時,如何有效阻止網路犯罪,是非常重要的一件事。」在虛擬空間(Cyberspace),也就是以網路為平臺的人造空間中,會有危及電腦網路安全的犯罪行為,比如,來自電腦外部的不法入侵,竄改或破壞數據,或是洩露資訊,電腦病毒感染等。然而,在這個透過網路連結各種事物的世界,如果沒有將網路安全做好保障,會直接影響到我們每個人的日常生活。

10年前,當時還在日本樂天銀行的佐伯和彥,整理出一張結構圖,是針對銀行業,駭客會鎖定的3大攻擊目標。他提到,銀行主要系統的伺服器(Main System Server)是駭客最大的目標,也是許多網路犯罪者最先攻擊的部分。

另外兩大攻擊目標,一個是銀行職員所使用的電腦,他提到,通常駭客會假冒社會人士,來侵入或攻擊銀行職員的電腦。另一個則是顧客所使用的載體,如手機、電腦,駭客會透過釣魚網站或是電腦病毒,對顧客端的載體進行攻擊。佐伯和彥表示,在防範政策上得有對應的作法,主要系統的伺服器會有伺服器的資安防範對策,對於銀行職員也有相關對資安防範對策與教育,就連顧客端也必須進行網路犯罪教育。

他也提到,較為早期時,網路犯罪者是想展露自己擁有能駭入企業或組織的技術。或是對於一些組織或機關,有自己的社會理念,認為要透過攻擊這些組織或機關來實現自身的理念。但,針對金融機構的網路攻擊,最大目標是取得金錢。

樂天網銀防範網路金融犯罪首要原則,讓網路犯罪者的攻擊成本大於獲得利益

佐伯和彥更進一步揭露日本樂天經營純網銀20幾年的經驗中,歸納出防範網路金融犯罪的2大基本原則。

首先,「讓網路犯罪者或攻擊者會消耗的成本,大於他們所能夠得到的利益,就能有效遏止駭客入侵攻擊,這是樂天純網銀最大的原則。」佐伯和彥強調。

他進一步解釋,當銀行談到資安防範或是網路犯罪時,通常會想到防洗錢(AML),或是如何做好資安的防備等作法。可是,回歸到上述的基本原則時,會發現不管是洗錢還是網路犯罪,都只有兩大切入口,一是加害者的帳戶,另一個是被害者的帳戶。

佐伯和彥強調,駭客會分別從加害者帳戶或被害者帳戶入侵,唯一的防備方法只有一種,「那就是設法讓帳戶不要有任何動作產生」,這是防範網路犯罪的最大方法。他舉例,比如,樂天純網銀發現有人設法入侵或侵佔被害者帳戶時,銀行就要想辦法凍結該帳戶,讓被害者的金錢不會往其他不明的帳戶流動。或像是一旦發現某帳戶有洗錢的行為出現時,銀行也要設法阻止,避免讓金錢流向打算洗錢的帳戶。

樂天純網銀在阻止網路犯罪上,基本有3項動作。佐伯和彥表示,第一項是不斷的隨時檢測加害者或被害者的帳戶;第二項是評斷帳戶是否正常運作;第三項則是,萬一發現有任何不正常的營運時,銀行就會實行各項措施並加以阻止。

他坦言,在這整個過程中,銀行方得花上許多心力、時間與金錢來阻止犯罪產生。不過,相對的,這些從外部透過網路攻擊銀行的犯罪人士,也必須要消耗很大的成本,來破解銀行的防治方法。佐伯和彥表示,讓網路犯罪者消耗大量成本才能獲得利益,對於他們來說是一項不划算的行為,這也是樂天純網銀採取的重要原則,透過這樣的方式來減少駭客想攻擊銀行的企圖。

金融資安防範需銀行同業與顧客通力合作,才能發揮最大力量與效益

樂天純網銀防範網路金融犯罪的另一基本原則是,「資安必須是社會全體具有共同合作、對抗犯罪的意識,企業則必須捨棄獨善其身的想法。」

佐伯和彥談到,在企業中負責資安領域的人員,感受最深的應該是現在的網路犯罪手法,越趨高端化、複雜化。他認為,以銀行業界來說,包括銀行同業、顧客都要通力合作,才可以讓整體的力量大於犯罪人士。因為,資安的環節中,「只要其中一環斷裂或是薄弱,就會讓這些犯罪人士趁隙而入。」他強調。

而隨著資訊技術不斷進化發展,網路犯罪更不再只是工程師需要面對的問題。因此,他認為,培育人才並不斷推動研究技術,是企業非常重要的任務。

甚至,佐伯和彥也進一步透露樂天網銀未來在資安上將著重的重要課題。他表示,許多犯罪手法會發生在用戶使用的載體或空間,比如在手機、應用程式App,或是通訊軟體,而在這部分的犯罪事件也正快速增加中。主因是這些手機上的功能操作簡便且容易上手,當越來越多人使用後,對網路犯罪者來說,就有更多機會可以趁虛而入。

另一項樂天網銀的重要課題是,必須在產業間加強合作的連結。佐伯和彥比喻:「就像一根筷子輕易就能被折斷,只有一個人單打獨鬥是絕對不夠,必須要有多雙筷子通力合作,才能產生最大的力量與效益。」

佐伯和彥認為,防範網路犯罪沒有特效藥,加上犯罪手法日新月異,企業得像在玩打地鼠的遊戲一樣,當有任何犯罪冒出頭時,就得設法阻止並壓制下去,即便這個過程非常枯燥。他也提到,銀行得共同從小地方開始防範,一步步累積,力量才會更大,才能有效防止網路犯罪。

最後,佐伯和彥談到,在疫情之下,防範最有效的地方就是臺灣。他認為,臺灣的防疫成果能如此顯著,並非只有政府呼籲就能做到,更重要的是每位臺灣國民、各個企業、機關大家齊心通力合作,才有這樣的防疫成效。同樣的,電腦病毒與網路犯罪也是病毒的一種,只是類型不同,樂天銀行也希望大家都能夠通力合作,防範網路犯罪。文⊙李靜宜


熱門新聞

Advertisement