Fintech時代來臨 資安問題不可忽視

台灣王道銀行推出機器人理財顧問，消費者只需備齊證件，其可在網路上申請開服服務。圖片來源：王道銀行

自從行動裝置成為多數消費者中不可或缺的工具之後，即快速改變傳統商業模式的運作流程，特別是在各國金融法規鬆綁之後，以往只能到實體銀行辦理的各種金融業務，現今已能輕鬆在行動裝置上完成，也帶動創新金融科技(FinTech)的蓬勃發展。

為因應消費型態改變，各金融業者在縮減實體銀行數量、減少員工人數、刪減ATM 外，也擴大在創新金融科技上的投資。根據KPMG及CB Insights共同發布的2016全球金融科技趨勢報告，2016年全球金融科技投資金額約為300億美元，相較於2015年191億美元將成長57%，以便能夠提供消費者更便捷服務。

如在雲端運算服務健全、人工智慧技術成熟下，在已有部分金融業者導入機器人理財顧問(Robo-Advisor)，透過自動化回覆系統和網路資訊收集的功能，搭配長期收集該會員的金融操作行為，提供高價值、低成本的理財服務，以及彙整各種資訊所得的分析建議等。

只是此種服務因為很容易受到網路謠言的影響，所以多數業者推出機器人理財服務仍較保守，避免淪為成為特定組織炒作股票、基金的數位工具。

交易、生活資訊數位化  行動支付、P2P服務興起

在眾多創新金融科技之中，最為消費者熟知應用服務即屬行動支付，此種可取代現金交易、免去攜帶信用卡的服務，正在逐漸改變顧客的購物需求及消費行為。特別是當支付工具與行動裝置整合之後，如Apple Pay、支付寶、微信支付等，店家與商家可輕鬆收集消費者更多交易資料，進而運用巨量資料分析工具了解顧客需求，便於日後提供客製化服務。

當消費者生活中所有資訊都數位化之後，後續延伸出的服務項目就更多元化，如以往只能由銀行提供的貸款或融資服務，現今已有新型態的P2P(Peer to Peer)融資出現。

美國、大陸業者已可透過資料收集搭配巨量資料分析工具，確認貸款者是否有可能違約行為傾向，作為貸款與否的評斷標準，有助於縮短消費者取得融資的時間。儘管過去2年美國與大陸都曾爆發大量P2P違約的事件，但長期來看反而有助於讓P2P發展更為健全，未來當傳統金融業者也投入該項服務時，將可改善以往貸款流程過於冗長的問題。

在P2P融資服務之外，互聯網保險則是另個備受期待的新服務。以往保險產品是依照過去歷史紀錄及預測性指標，計算出訂出符合保險公司與顧客期待的價格，保險業者雖然會在續保時，依照個別保戶前一年度的資訊，如實際用路狀況等，被動調整費率高低，但卻無法反應每個消費者的差異度。

然而消費者訊息數位化後，保險公司只需透過收集行動裝置、車聯網等訊息，當保戶每天有定時運動或開車均符合安全限速，即可隨時主動調整保險費率，乃至於設計該消費者專屬的個人化保單，實現真正的保費差異化。

駭客攻擊受法多元化  勒索軟體、APT威力驚人

儘管FinTech衍生商機驚人，但也隱藏著金融產業不可忽視的風險，如2016年台灣便爆發首家銀行業者的ATM遭到駭客入侵案例，所幸最終在檢警調和合作下，並沒有造成太大的經濟損失。相較之下，孟加拉央行就沒有如此幸運，該行在美國紐約聯邦儲備銀行的帳戶，即因帳號與密碼被駭客組織竊取，最終損失高達8,100萬美元。

不可否認，在各國法規強烈要求下，金融產業資安防護等級都遠超過其他產業，但因組織本身擁有可觀經濟價值，自然會成為駭客組織攻擊的首要對象。

為此，金融組織為避免商業機密在網路交換過程中被駭客攔截，均已使用SSL加密技術，以確保網路交易過程中的安全。然而犯罪組織也看準多數資安設備欠缺解析SSL封包能力，選擇在SSL封包中植入多種惡意程式，再透過社群平台感染到用戶端電腦之中，成為企業難以預防的新型態攻擊。

如源自於俄羅斯的勒索軟體，即是一種透過木馬病毒形式傳播的惡意程式，有別於其他惡意程式將機密資料傳送到C&C伺服器的做法，該軟體進入企業內部之後會，將主動感染ERP或資料庫主機，並且執行特定加密工具，以便要求受害者或公司支付贖金。

以目前被偵測到的CryptoLocker勒索軟體為例，便預估至少取得300萬美元以上的贖金，至於另個勒索軟體－CryptoWall，亦預估獲得超過180萬美元，是金融產業必須正視的首要威脅。

至於多數資安人員熟悉且害怕的APT進階持續性滲透攻擊(Advanced Persistent Threat；APT)，則是從2008年底被發現至今，尚且無法完全杜絕的攻擊手法。APT是駭客組織針對一個特定組織設計的複雜網路攻擊，由多種客製化惡意程式所組成，特別是當利用軟體漏洞入侵企業網路之後，會先收集該組織關於網路設定和伺服器作業系統的詳細資訊。

最後，當完成該組織網路分析之後，惡意程式才會慢將伺服器中的機密或消費者個資，傳送到駭客組織建置的C&C伺服器中，再藉此轉售給犯罪組織牟利。

根據國家資通安全會報技術服務中心提供資料顯示，前三大APT受駭產業分別為金融服務、媒體與娛樂與製造業，尤其有高達67%受駭組織完全不知道已被入侵，且惡意程式平均得達229天才會被發現，亦是發展創新金融服務不可忽視著重要威脅。

DDoS流量屢創新高 金融產業發展隱憂

從1990年代末期就開始出現的DDoS(Distributed Denial of Service；分散式阻斷服務攻擊)，曾因資安設備開始內建DDoS防護機制後，一度在市場上消聲匿跡。

不過隨著各國基礎網路頻寬開始攀升，加上多數連網裝置因欠缺完善防護機制，屢屢傳出網路攝影機、硬碟機遭駭客入侵後，近來反而成為企業難以防禦的大流量攻擊手法。如2016年底美國知名DNS服務業者-Dyn，即便本身已有相當完善防護機制，但最終因DDoS攻擊量達到1.2Tbps，一度造成CNN、eBay、App Store等知名網站服務停擺，直到資安專家介入之後才暫時解決該問題。

而台灣多家知名證券營業商也在2017年初Ｍ傳出遭到駭客組織勒索比特幣，若不支付將以DDoS手法報復的事件，儘管沒有造成影響，但也證明台灣金融產業無法置身於資安威脅之外。

新世代DDoS攻擊不再侷限於傳統L3、L4網路層，而是擴增到應用主機、DNS等第七層，因此企業在現有傳統防火牆之外，也應添購可偵測第七層DDoS攻擊的WAF(Web Application Firewall；網路應用程式防火牆)，搭配電信業者提供的網路清洗中心服務，才能對抗流量不斷屢創新高的DDoS攻擊，確保創新金融服務的穩定性。

標題：Lending Club是全球最大P2P融資服務業者，可惜因爆發融資造假事件，導致股票價值持續創下新低。(圖片來源：Lending Club)