彰化銀行副總經理兼資安長 陳斌 (攝影/洪政偉)

成立於民國前七年的彰化銀行,是一家名符其實的百年老行庫,隨著部分公股銀行逐漸民營化,公股行庫勢必要擺脫以往聽命行事的作為,並積極朝向各種新興的金融科技應用,提供更新穎、更便民的金融服務,藉此贏得更多民眾的信賴。

只不過,各種結合金融科技的新服務上線後,也同時面臨各種新興的資安威脅,金融業是臺灣主管機關監管相對嚴格的產業,率先要求資產規模一兆元以上的銀行,都必須設立獨立的資安專責單位,及設置相當層級的資安專責主管,其中,資安長的層級從原本協理層級以上位階,又擴大要求設置副總層級的資安長。

在這個主管機關逐漸重視資安的過程中,彰銀副總經理兼資安長陳斌就是最好的見證者。

陳斌本身就是彰銀的資深員工,從1993年進入彰化銀行工作迄今已經將近三十年,經歷資訊專業和業務營運的磨練,例如:資訊處、數位金融處以及海外分行經理人等職務。

陳斌在2017年3月接任副總經理一職,負責督導數位金融處、資訊處;而資安部門直到2018年才成立,這也成為陳斌督導的業務範圍之一;此外,他也在今年3月29日正式接任資安長一職。

接任資安長職務前,陳斌擔任資訊處長及資訊安全處的直屬督導副總多年,一直負責統籌全行資安政策推動及資源調度,再加上自身的經歷和多年的IT經驗,以及彰銀2008年導入ISO 27001資訊安全管理系統,資訊安全的基因已注入日常的IT維運,使得資訊和資安的工作流程結合在日常的工作營運中。所以,當他接任資安長時,沒有銜接上的困難。

對陳斌而言,不同職務的歷練,讓他不僅熟悉彰銀各個部門的業務,擔任營運高階主管後,更能從營運角度協助制定相關營運策略,「而資安長更是必須在負責企業資訊與資料安全的前提下,同時確保企業營運的安全性。」他說。

資安長具備資安專業有加分,但態度和溝通力才是關鍵

陳斌接任資安長後的主要任務就是:統籌資安政策推動協調及資源調度。在資安政策推動上,應該洞悉整個企業面臨的資安風險,知道企業的風險容忍度及資安目標;在資源調度方面,則需要謹慎安排資安預算,將不可或缺的資安建設需求,列入優先採購項目。

資訊處是陳斌最熟悉的部門,一路從工程師、科長、處長到後來擔任銀行資訊長,他認為,過往在資訊處所累積的資訊技術的經歷,有助於他在思考資安架構或面對資安事件等議題時,可以在最短時間內訂出方向、做出決策。

之前包括數位金融處以及海外分行的歷練,有助於他對於資安政策的制定與推動上,可以做到兼顧資安與業務的需求,並藉由規畫適當的管控機制,讓各個部門站在同一陣線,從公司的角度出發,分析各種可能後果,理智的分析與溝通,確保全行達到最大利益,共同配合安全措施的推進。

他強調,資安長重要的特質之一就是:跨部門溝通能力。因為,資安制度與策略推動,要大量的跨部門溝通,才能減少推動資安制度造成的衝擊,不管是對上溝通,包括董事長、總經理等,要爭取更好的資源投入資安;或是不同部門間的溝通協調,像是採購部門;或是對全行的資安宣導等,溝通能力都是不可或缺的必備技能;或是對外部溝通,例如F-ISAC或主管機關金管會等。

由於資安長的工作範圍囊括管理面、政策面及技術面等,甚至於,資安也已經納入公司ESG公司治理的項目。陳斌認為,資安長對資安風險及資安範疇必須有一定的了解,要有足夠的「危機意識」,加上資安事件處理往往是「養兵千日、用在一時」,問題來了,也要有危機處理能力。

他說:「資安長的資安專業可以接任後培養,具備資安專業的確會加分,但願意面對問題、不畏艱難、持續溝通的態度,才是稱職資安長的關鍵。」

攝影/洪政偉

具備資安專業對資安長有加分,但願意面對問題、不畏艱難、持續溝通的態度,才是稱職資安長的關鍵特質。── 彰化銀行副總經理兼資安長 陳斌

一銀事件提升銀行業者的資安意識

在2016年爆發第一銀行的ATM盜領事件後,主管機關金管會要求,所有的銀行業者都必須立即強化ATM安全,當時陳斌正好擔任資訊處處長,面對這樣的資安任務,接手處理起來還算游刃有餘。他說,當時資安雖然還不是獨立的專責部門,但早就是不可或缺的組別。

他回憶,在2016年爆發第一銀行ATM盜領事件,彰銀和其他銀行業者的想法應該都一樣,當下先求平安,之後才思考更長遠的資安改善計畫。

陳斌表示,在一銀ATM盜領事件爆發後,公股銀行之間也會互相通報,當時短期的資安作為就是:限縮ATM提供服務的時間,當時也在討論,第二天晚上是否停止ATM的服務;暫時關掉軟體派送伺服器,先止血、避免有資安後遺症繼續延續。

他說,後續中期的資安作為,就是花1到3個月強化資訊處的架構,重點在於限縮員工使用行為的方式,要求銀行員工要連線到重要系統時,必須到規畫好的連網專區使用電腦,做到專區、專機、專用;長期目標就是:調整資訊架構,將分行ATM系統獨立出來。

陳斌坦言,不管是第一銀行的ATM盜領案件,或者是遠東銀行的SWIFT國際匯兌系統的資安事件,都讓臺灣金融業者真正意識到駭客的厲害,也讓主管機關金管會對金融業的資安更加警覺。

他認為,這些資安事件的爆發,也提高臺灣銀行業者近年來對於資安的重視,甚至於,資安也成為企業社會責任(ESG)重要的一環。

金融釣魚簡訊事件,彰銀視同作戰

資安處成立後,和資訊處、其他業務單位都保持良好的互動關係,遇到突發的資安事件時,可以做到兼顧資訊安全和業務營運持續的雙贏局面。

他說,最明顯例子就是,2021年春節前後,爆發詐騙集團偽冒銀行發送釣魚簡訊的資安事件,造成民眾大筆金額的損失,當時甚至傳出,有三十多名受害客戶的損失總額高達500萬元。

陳斌坦言,銀行可以針對行內員工進行資安教育訓練,但無法對客戶進行資安教育訓練。

這類資安事件透過大量發送釣魚簡訊,誤導民眾點擊偽冒的惡意連結後,連線到偽冒成各家網銀的釣魚網站。當民眾以為釣魚網站是真的網銀時,就會輸入真實網銀帳號、密碼,詐騙集團就可以藉此取得民眾真實的網銀帳密。

另外,他也說,詐騙集團也透過詐騙手法,騙取用戶收到銀行發送、綁定信任裝置的一次性密碼(OTP)後,再藉此,將民眾的網銀帳戶,非法綁定到詐騙集團持有的手機裝置,進行非約定轉帳後,進而成功盜領民眾金錢。

陳斌認為,這類資安事件有其急迫性,決定採取「先治標、再治本」的解決方式,藉此降低民眾的受害程度。

在爆發偽冒銀行發送釣魚簡訊的詐騙案件後,陳斌當時便和督導的資訊處、資安處和數位金融處的三個處長商量,並參照從F-ISAC得到進一步的情資,確認釣魚簡訊的問題是發生在重新綁定OTP時所發生的資安事件。

在彼此討論一輪後,陳斌當下決定,暫時停止OPT密碼重新綁定手機的服務,客戶若要重新綁定手機,必須要打電話到客服部門重新驗證身分後,才提供新的密碼綁定手機。

陳斌說,這樣的治標作法雖然對客戶帶來些許的不方便,但因為可以立即降低客戶受害的可能性,效果立即可見。

針對這次的釣魚簡訊事件,可以在不到一天內,就立即決定先暫時中止手機重新綁定OTP的服務,因應速度相當快,陳斌認為,這也是資訊處、資安處和相關業務單位彼此已經有合作默契,在兼顧資安、業務營運持續和客戶安全三贏局面下的結果。

資安長應重視同業發生的資安事件,做到防範於未然

因為是春節前夕爆發的資安事件,加上疫情影響,陳斌一接到相關資安事件的資訊時,很擔心行內客戶會成為下一波的受害者,第一時間便即時召開線上會議,聚集相關部門主管集思廣益、協助危機處理。

先透過治標方式,避免行內客戶成為受害者後,接下來就要進行治本的工作。陳斌說,政府先前積極推動結合五大電信業者所提供的行動身分識別服務(Mobile ID),透過手機就可以進行實名認證,也可以作為網路上的身份證。

他表示,Mobile ID的網路身分認證方式,可以擴及未來網路上所有的金融開戶、交易、轉帳及購物等行為,只要是需要核對個人身分來確認交易的行為,都可以輸入行動電話號碼,完成個人身分的查核與認證。陳斌指出,這也是彰銀目前積極推動的身分認證方式,未來應用範圍,必須看推出什麼金融服務。

這起資安事件對陳斌帶來的啟示,便是:發生任何資安事件一定要先立即止血並積極通報,然後再深思相關的治本之道,把資安漏洞真正補好。

他表示,沒有發生資安事件不代表沒有問題,看到他山之石的案例,例如此次的釣魚簡訊事件,雖然是其他同業受害,但不代表彰銀不會是下一個受害者,所以面對這種案例時,資安長一定要有足夠的警覺性和危機意識才行,才能真正做到防患於未然。

陳斌表示,因為過往自己曾接受資訊和業務的雙重磨練,所以,對於這樣的資安事件警覺性相當高。但他也說,如果接任資安長的主管偏重營運安全時,專業的資安部門就必須扮演好稱職的資安幕僚角色,一旦發生這類資安事件時,就應該立即通報給督導資安的副總或是資安長,協助資安主管可以快速決策、因應。

 CISO小檔案 

 彰化銀行副總經理兼資安長陳斌

學歷:交通大學資訊工程研究所、中央大學資訊管理研究所

經歷:在彰銀工作近30年,從科長一路升任彰化銀行電子營運處處長、資訊處副處長及處長,並外派新加坡分行擔任分行副理及經理,回臺後升任副總經理,督導資訊、資安、數位金融、國際營運處、子行,以及秘書處,負責ESG業務及兼任發言人,並於2022年3月29日接任資安長一職

 公司檔案 

彰化銀行

成立時間:1905年6月5日

公司地址:臺北市中山區中山北路二段57號

業務種類:銀行業

資本額:1,059.35億

年營收:286.86億

董事長:凌忠嫄

總經理:周朝崇

員工人數:6,680人

 資安部門檔案 

成立時間:2018年9月3日

資安部門主管:呂耀茹

資安部門人數:21人

資安部門預算:逐年增加

 資安角色與分工 

資安專責主管:負責監督和落實資訊安全政策與協調及推動資訊安全管理作業,並每年向董事會報告資安整體執行管理情形。

資安管理科:發展、規畫及建置與資訊安全有關之處理程序,以逹成最佳內部控制

資安技術科:執行與資訊安全有關之處理實務,以維護本行資訊環境與系統安全

 資安大事記 

2018年:9月正式成立資安專責部門,推動及維持資訊安全各類執行、管理與查核等工作之進行;導入防火牆政策管理工具

2019年:建置資安日誌與事件管理系統(SIEM),建立本行SOC機制

2020年:成為金管會推動的F-ISAC(資安資訊分享及分析中心)會員,透過資安事件通報及情資分享,充分發揮資安聯防功效;導入端點惡意程式檢測系統(EDR)

2021年:參加金管會主辦之2021金融資安攻防競賽(FINSEC DEFENSE攻防競賽)表現優秀,並獲邀參加經濟部工業局與臺灣駭客協會共同主辦的「HITCON DEFENSE 2021企業資安攻防大賽」,本行團隊於競賽中取得第三名佳績;導入新日誌保存系統(N-Cloud)及弱點管理系統

2022年:汰換電子郵件過濾系統;汰換共用電腦個資盤點系統;汰換網頁應用系統防火牆;導入虛擬補丁防護機制;加強檔案異動管控;加入TWCERT/CC(臺灣電腦網路危機處理暨協調中心)強化資安聯防;擴充SIEM系統及資料庫稽核監控系統;優化網路架構,更新分行網路並強化資安防護;升級外部防火牆;針對IoT網段做隔離;升級資料外洩防護系統(DLP);深化資安治理,設置副總層級資安長,並設置資安顧問增進經營階層對資安的監督能量;完成ISO 22301:2019轉版作業

熱門新聞

Advertisement