研華

智慧金融論壇 實現創新與風險的最佳平衡

  • 魏淑芳
透過智慧金融論壇,與會者不僅掌握FinTech發展趨勢及箇中機遇,更瞭解相關風險管理之道,可謂收穫滿滿。。

DIGITIMES企劃

當前「數位轉型」已成為各產業公認的顯學,影響所及,傳統營運模式與現代化科技的競合戲碼,正在持續不斷上演;若以金融產業而論,這股數位變革的力量,便是當前備受關注的FinTech金融科技。

 點擊圖片放大觀看

帳聯網路科技執行長劉世偉。

AWS(Amazon Web Services)Business Development Manager韓宜安。

伊雲谷數位科技的資安部副總經理劉淑祉。

中華開發金融控股資深副總經理周郭傑。

A10 Networks台灣區技術經理陳志緯。

Fidelis Cybersecurity Inc.亞洲區技術顧問邢廣耀。

金管會資訊服務處處長蔡福隆。

藉由FinTech跨域整合,確實有助於開創新金融、新業務,可望令金融機構、FinTech新創公司,乃至最終顧客同蒙其惠,讓各種金融服務變得更有效率,表面上看來「利」遠大於「弊」;儘管如此,當各方積極推動創新大業的同時,依然不可對於潛在弊端與風險掉以輕心。

為協助業者掌握FinTech創新成果、亦可規避新型態風險,DIGITIMES特別於日前舉辦「2017智慧金融論壇-新金融?新業務?新風險」,一方面探討FinTech發展趨勢,及科技與金融的無縫融合之道,二方面則剖析新型態金融犯罪,俾使業界知所防範。

區塊鏈崛起  蘊藏巨大想像空間

1999年經濟學大師Milton Friedman提出預言,指網際網路會形成一股新興力量,將模擬實體世界給鈔票的動作,意即從A到B點傳送資金,進而減少政府對經濟、貨幣的操作。前述貨幣學派大師 Friedman 的預言在2008年開始實現,即是當前大家耳熟能詳的比特幣(Bitcoin)。

帳聯網路科技(AMIS)執行長劉世偉指出,如果大家同意,貨幣的價值與穩定度取決於民眾對政府的信賴,則Bitcoin即是值得探討的特例,它並無政府支撐,發行全由電腦操作,但價值竟能連年飆升,跌破主流經濟學家的眼鏡,背後玄機頗堪玩味;他認為無論比特幣或其底層技術區塊鏈,都不僅是貨幣或技術,而象徵人們看待當今經濟世界的新觀點。

儘管多數主流經濟學家對Bitcoin仍存若干疑慮,但面對其底層之區塊鏈技術,則持正面認同態度。綜觀當今金融清算機制,皆有中間人代為處理貨幣數字的加減,導致金融機構彼此間對帳、記帳程序繁瑣耗時,這般集中化的記帳系統,即使可行、可控且可靠,但卻犧牲效率,且扼殺多樣化應用可能性;區塊鏈的興起,意謂一種奠基於點對點網路拓樸架構的共享式帳本就此誕生。

劉世偉說,今後包括銀行、保險公司、證券商、IoT公司、電信營運商等需要使用新台幣記帳的各種角色,都能如同自由參與網際網路般,串接到區塊鏈平台參與運作,直接與平台上各個節點雙向互連,不僅完成對帳、記帳,亦藉由智能合約實現法遵需求,從而在可靠且低成本的前提下,推展各種應用想像空間。

妙用雲端資源  快速孕育創新服務

大多數企業都亟欲借助大數據分析,洞察目標顧客的採購行為、移動路徑與族群關係等有價值資訊,挖掘商業致勝線索;惟礙於資料來源愈來愈多,導致企業難有足夠資源分析處理所有數據,造成業務行銷視野備受限制。

AWS(Amazon Web Services)Business Development Manager韓宜安表示,該公司提供安全可靠、可擴展,且降低成本、高效能的雲端服務,有助企業填補本地實體機不足的缺口,巧妙運用大數據Pipeline當中的Amazon EMR、AWS Lambda、Amazon Kinesis、Amazon Redshift及Amazon Machine Learning等實用工具,以低成本負擔、運用少量資料啟動多項運算,待驗證結果無誤再進行擴展,藉此孕育創新金融服務。

韓宜安歸納,企業經由上述淬煉過程,可輕易產生四大類商業成果,首先是透過資料集中彙整、360度全面透析顧客價值,其餘包括開創新的營收來源、即時響應顧客需求,及藉由DevOps方式自動擴展線上服務業務。

然而如何善用雲端資源優勢搭上這股FinTech潮流呢?來自伊雲谷數位科技的資安部副總經理劉淑祉,特地分享協助金融產業布局雲端的案例。作為大中華區唯一的AWS Premier Partner,伊雲谷擁有完整的雲端生態系,並因應不同情境來推展需求,成功輔導不少金融企業上雲。

像是輔助大型金控公司借助AWS資源快速建置雲端空間,提供使用教學與API串接說明,以順利舉辦FinTech黑客松(Hackathon)競賽活動;另曾透過雲端資源拓展大數據應用,協助銀行成功建立網路輿情資料分析平台,打造FinTech創新研發實驗場域。

FinTech有助金融業開創新模式

雖然FinTech是熱門話題,但仍有不少人質疑,是否有創新改變的必要?例如台灣推動行動支付已屆兩年,回饋率仍高達23%,為何業者仍需付出高昂行銷成本來轉換消費行為?這般創新,是否走錯方向?

中華開發金控資深副總經理周郭傑指出,以英國為例,Overbanking現象比台灣明顯,但卻從2013年起積極鼓勵銀行創新,開放12家新銀行成立,亦設置Innovation Hub協助發展FinTech;探究英國推動FinTech如此急迫,乃是預見未來FinTech獨角獸將挾著跨業經營模式,大舉進軍各國金融市場,傳統國家界線難以阻擋,惟現今FinTech獨角獸多集中在美、中,迫使英國必須急起直追。

FinTech與生態圈息息相關,只因一般消費者平均花費75%時間與非金融體系接觸,銀行在時間、頻率都屈居劣勢,必須進入一個涵蓋消費者食衣住行育樂的生態圈,方可與消費者產生緊密互動。足見未來數位經濟活動,是一個與同業及異業間多元、開放連結的數位生態圈,現行側重交易介面的安全性規範的法規設計架構,顯然難以接軌數位生態,鬆綁與否,確實值得商榷。

周郭傑認為,當全球出現愈來愈多零手續費的ETF,甚至諸如Acorns零錢投資等創新服務持續問市,傳統金融業者必須省思,展望未來,自己是否被消費大眾持續需要?因此在創新求變的脈絡下,金融業者要做的,似乎不僅是運用科技形塑新服務、新功能,而是設法開創新模式。

建立混和型防禦網路  阻絕DDoS攻擊

2017年假後首個股市交易日,爆發台灣史上第一起券商集體遭DDoS攻擊勒索事件,連同2016年間英匯豐銀行遭DDoS攻擊,及Mirai物聯DDoS殭屍網路,讓大家不得不承認,「DDoS」是新金融、新業務下最主要的新風險之一。

A10 Networks台灣區技術經理陳志緯指出,DDoS並非全新威脅,但可怕之處在於攻擊手法持續演進,從過去的網路層攻擊、應用層攻擊、放大攻擊等單一攻擊型態,進化為複合攻擊型態。

大抵來看,DDoS攻擊可分為「頻寬耗盡型」與「資源耗盡型」兩種,後者係透過耗盡連線數、處理器等系統資源,導致受害企業的系統無法處理合法的服務請求。

面對這些DDoS威脅,企業一向倚重的防禦機制,是藉由防火牆、IPS、WAF或伺服器負載平衡器(SLB)開啟DDoS功能,惟面對愈趨詭譎的複合型攻擊,明顯力有未逮。

陳志緯建議,企業宜透過ISP Clean Pipe、CPE防禦設備,建立混和型DDoS防禦網路,藉由前者抵禦頻寬耗盡型攻擊,透過後者應付資源耗盡型攻擊。以CPE而論,A10提供Thunder TPS威脅防護系統,憑藉異常封包檢測、黑白名單、連線驗證、流量管控及應用層檢測等5道防護關卡,有效阻絕複合型DDoS攻擊。

值得一提的,Thunder TPS蘊含智慧型威脅偵測(Automated Baselining)機制,可記錄、分析與學習用戶端的各種應用服務流量,從而產生基準指標,意在透過漸趨嚴格的對策提高可疑流量的等級,儘可能減少誤判發生。

全方位防護  遏止數位金融之APT攻擊

放眼全球,包括美國空軍、Apple、微軟、IBM、三星電子等大型企業或機關,乃至Barclays、The Co-Operative Bank、PKO Bank Polski等金融機構,皆部署Fidelis Cybersecurity解決方案,以對付難纏的APT攻擊。

Fidelis亞洲區技術顧問邢廣耀指出,現今市場上不少資安產品,已能偵測惡意程式入侵、C&C連線行為,但仍存在諸多盲點,只因威脅生命週期往往歷經滲透、遠端遙控、橫向感染、資料洩漏等不同階段,多數資安設備的偵測範圍侷限在第一或二階段。

此外也僅能監看80、443或25等有限連接埠,無從識別未知通訊協定,加上即使動用沙箱檢測,亦無法辨析潛藏在PHP或ASP等「非啟動式」檔案的惡意程式,等於留下偌大防禦缺口,讓駭客有機可乘。

反觀Fidelis,包括用於看管網路的Fidelis Network、用於守護端點的Fidelis Endpoint等兩大產品,偵測與鑑識範圍都涵蓋所有端口(0∼65535)、已知與未知通訊協定,且以元數據(Metadata)型式完整保留偵測結果,以利後續啟動時光回溯調查,還原不同階段駭客活動之完整軌跡,譬如某IP在何時從事何種通訊行為,傳送何種類型檔案;換言之,即使再高明的駭客,都會在抵達終點(資料洩漏)之前,難逃Fidelis的查緝而敗露行蹤。

一旦釐清惡意程式的傳播路徑、確認遭受感染端點,Fidelis Endpoint管理中心便會從遠端清除惡意Processes並進行還原,連帶讓駭客攻勢就此終止,順勢將企業面對資安事件的反應速度,提升到前所未見的制高點。

唯有新安全  方能成就新金融

論壇最後,由金管會資訊服處處長蔡福隆擔任壓軸講師。他表示,現今各大金融業者,莫不冀望借助數位化、互聯網、行動化、大數據等力量,拓展新金融業務,殊不知互聯網金融相連、依賴卻脆弱,加上大數據大風險、萬物皆可駭、駭客永遠早一步知道弱點,及敵暗我明等種種特性,導致新風險悄然近身。

面對嚴峻情勢,有志逐鹿新金融商機的業者,都必須全力建立新安全架構。首先亟需「強化資安防禦縱深」,以資訊安全監控中心(SOC)為軸心,打造一個兼具網路及伺服器安全、網站應用系統安全、資料庫及檔案安全、端點設備安全等完整防禦構面的體系,把資安防護的基本功做好,如此即可解決許多不必要紛擾。

蔡福隆接著說,其次必須「建立組織重視資安的文化」,要從組織整體的面向看待資安,並獲得高層主管鼎力支持、提撥充足的預算與人力,進而設立專責的資安單位、配置相當層級的資安主管;更重要的,企業應藉由資訊部門、資安專責單位與稽核單位,建立資安三道防線,並嚴格落實「實體隔離」之王道。

金管會參酌國際上主要國家現況,正積極規劃成立「金融資安資訊分享及分析中心」(F-ISAC),希冀發揮通報、情資研判分析、資安資訊分享、資安諮詢服務及漏洞評估、技術訓練/研討會/國際交流、資安事件應變協助、資安專題研究分析、金融機構資安演練,及協助資安規範評估及建議等九大關鍵功能,同步提升銀行、保險業與證券業的資安防護能量。