金融业护资安 年砸上亿元才够

时间:2017-11-05

【陈莹欣╱台北报导】电子交易需求增加,银行也纷纷追加资安成本,资诚企管顾问执行董事张晋瑞表示,“金融业每年花千万元维护资安只是基本的,要做到好要破亿”,他表示国内企业对资安防护观念不足,中小型金融机构因既有资源匮乏无法进行软硬件设备升级,反而更容易被骇客盯上,呼吁业者不要掉以轻心。
资诚企管公司指出,今年以来我国金融业者遭骇客攻击主要有4大类型,远银SWIFT盗领案与去年一银ATM盗领案,都以电子邮件钓鱼方式做为断点骇入企业**;台新证等多家券商遭DDoS(分散式阻断服务攻击,distributed denial-of-service),另有勒索病毒如WannaCry和Petya。

钓鱼病毒信客制化

张晋瑞表示,国外有调查确认骇客所做的产业行为已创造“黑色经济”,获利比卖**高,且有专门的产业链运作,防骇不能用传统思维,等到被骇才补救已经来不及。
“针对你(指金融从业人员)、发展你才会中的毒”张晋瑞表示,骇客精准锁定行员的电脑**作行为,钓鱼病毒信根本就是“客制化”,诱骗能力高,企业应提前防范。另有资安主管建议,倚赖电子化交易的消费者,最好还是跟资源较多的大型金融机构打交道。
张晋瑞分析,现在骇客犯罪分两种,一是企业化经营,从发病毒到取款车手都是自己人;第二是“卖刀人”,有心人士透过黑市交易可拿到客制化的病毒码,甚至有人承揽骇客任务,负责找受害人、代客植入病毒等,源头掌控不易,金融业者应提升防御力,才能对抗交易资讯被有心人盯上。