勒索病毒、金融詐騙與日俱增！國泰世華如何透過三道防線嚴守資安危機

勒索病毒、金融詐騙事件層出不窮，使得各界對資安的重視與日俱增，而金融服務更關係著民眾的身家財產安全，因此銀行資安業非常重要。擁有超過 800 萬客戶的國泰世華，提升資訊韌性及風險控管機制，透過資安專責單位的「三道防線」，更加強化資安防護網。

台灣政府近年來開始重視企業資安，其中又對金融業的安要求相對更高，而金管會 2021 年為推動「金融資安行動方案」，要求銀行、保險、證券期貨等符合條件的金融機構都必須設置資安專責單位，並要指派「副總經理以上或職責相當之人」擔任資安長。

為此，國泰世華設置資安專責單位與資安長一職，國泰世華銀行資訊安全部協理王堯德表示，國泰世華在主管機關要求之前，已建置資安專責單位，並有緊急應變的技術團隊，調配資源來處理緊急事件。

「三道防線」講究專責分權

王堯德表示，「三道防線」的做法是目前金融業常見的內控做法，第一線就是真正的執行單位，著重資訊領域的系統連接安全性，而第二線就是資安人員，主要是制定資訊安全的策略與藍圖，並檢視整個資安執行的狀況，至於第三線就是稽核人員。

王堯德指出，早期資安被歸類在資訊單位裡面，因為既要執行又要監督，難免會有球員兼裁判的疑慮，所以後來就被要求分開，等於多一個監督單位來管控，但是初期內部人員還是會搞混資訊和資安的角色定位，像是需要第一線的執行卻跑來找第二線的資安，這時候就會透過教育訓練灌輸正確概念。

談到資安，王堯德分享，一般把資安分成 CIA 三大類，其中 C 就是保密性（Confidentiality），確保資料受到真正的保護，而不致遭到竊取，再來 I 就是完整性（Integrity），確保資料不會被篡改與破壞，像是把一筆交易從 100 元改成 100 萬元，或是匯款給 A 改成匯給 B，而最後 A 就是可用性（Availability），確保系統能持續運作，也就是當系統不幸損毀時，不致發生無法正常運作的情況。

兩大面向杜絕金融釣魚簡訊

這兩年金融釣魚簡訊層出不窮，其中又以投資詐騙最為氾濫，王堯德表示，國泰世華從「事前預防」和「事後應變」兩大面向因應，首先事前預防包括情資搜集、科技技術應用、提升客戶資安意識等，舉例來說，資安團隊日常就會上網尋找偽冒網站、App 或相似域名網站，進行偵察監控，確定有問題就會尋求下架。

王堯德指出，事前預防包含情資搜集，並善用一些科技技術進行身分驗證，例如導入 sim 卡或人臉辨識來強化驗證，像是銀行常常需要寄送帳單、宣導等大量郵件給客戶，為了防止詐騙偽冒電子郵件地址，國泰世華導入數位簽章，讓客戶辨識真偽，並統一短網址連結。

國泰世華著重資訊宣導，藉此提升客戶防詐意識，王堯德指出，銀行透過粉絲團或網站進行金融詐騙宣導，並與台北市政府警察局合作，交流金融防詐的實務經驗，更與警政調查機構合作，一旦金融詐騙事件發生，國泰世華將可透過郵件、App 管道通知客戶。

事後應變方面，王堯德指出，國泰世華的執行方向多元，包括與警政及主管機關通報聯防、封鎖可疑網站與簡訊發送、事件處理與鑑識作業等，並成立一個跨部門的緊急應變小組，像是公關單位，一旦發生資安事件就會依相關作業流程執行，例如提供媒體記者正確資訊，或是製作通知客戶警示用語等等，並有稽核、法遵相關單位配合，還會定期進行模擬演練。

▲ 開放辦公室。（Source：國泰世華）

面臨金融詐騙把握黃金時間

王堯德分享，國泰世華與警政主管機關，共同建立溝通聯防機制，像是日常維運只要發現疑似偽冒網站，團隊就會聯繫 165 反詐騙中心和 TWCERT，尋求協助訪堵下架事宜，即使是海外偽冒網站，國泰世華也會比照處理。

現在偽冒網站出現頻率很高，王堯德說明，偽冒網站常冒用國泰的 LOGO，配置國泰世華的網銀登錄欄位，以假亂真，甚至有些看起來仍在建置中，但是團隊就是採以防堵於未然的作法，進行通報，一旦確認並非內部架設的活動網站之後，立即就會尋求下架。

當發生金融詐騙事件，國泰世華從兩大管道著手，王堯德說明，一方面下架偽冒網站，另一方面聯繫電信業者解決簡訊發送問題，而且背後有一個團隊負責處理，當客戶已經不小心把錢匯給詐騙集團，團隊提供必要的協助，以防止損失擴大。

王堯德舉例說明，當客戶已經把錢匯到詐騙帳戶，而詐騙集團未把錢取走前，協助聯繫對方銀行凍結帳戶，因此需要各個單位聯防、警檢發送函文，並非一通電話就能成功，往往就是跟詐騙集團搶速度，把握黃金時間。

資安專責單位需才孔亟

因應金融業對資安專責單位的嚴謹，王堯德坦言，資安相關人才確實越來越難招募，因為資本額 100 億元以上的上市櫃公司 2021 年開始也被要求設置資安長與專責單位，等於一家公司就至少要有 4 個人，所以目前資安人才面臨僧多粥少的情況。

為此，王堯德表示，國泰世華分別從留才和搶才著手，首先留才重視培育現有的員工有更好的技能，因為人才流失需要耗費更多的成本資源，主要透過人資設計的評量，為同仁找到適合的個人發展計畫，並針對專業培訓給予充足的預算，為資安專才提供相關訓練。

搶才方面，王堯德指出，國泰世華從金控延伸到子公司，提供年輕人喜歡的工作模式，引進開放辦公室、談話休憩區，讓同仁辦公更有彈性，並發起員工推薦的獎勵制度，最特別的就是今年首次前往資安大會擺攤徵才，因為現場參與者不就是資安專業人才，因此期望藉此招募到相關人才。

全台資安人才緊缺，王堯德分享，主管機關 2021 年推出金融資安人才職能地圖，列出金融資安需要哪些領域的人才，還有工作範圍、具備職能等，期望讓現有的金融資安人員有個努力的方向，或是讓那些對金融資安領域有興趣的人員努力，像是大學畢業生就可以補充自身的技能。

整體來說，王堯德強調，金融業對資安領域的要求勝過所有行業，因此國泰世華內部努力前進，每年都希望能追上新興科技和創新腳步，並參考國際的資安制度，像是這兩年很熱門的「零信任架構」，內部就早已經有所關注，期望透過密切追蹤世界趨勢與方向，打造更好的金融資安防護網。

▲國泰青埔資訊中心。（Source：國泰世華）

（首圖來源：國泰世華）