智慧金融論壇 實現創新與風險的最佳平衡

透過智慧金融論壇，與會者不僅掌握FinTech發展趨勢及箇中機遇，更瞭解相關風險管理之道，可謂收穫滿滿。。

當前「數位轉型」已成為各產業公認的顯學，影響所及，傳統營運模式與現代化科技的競合戲碼，正在持續不斷上演；若以金融產業而論，這股數位變革的力量，便是當前備受關注的FinTech金融科技。

藉由FinTech跨域整合，確實有助於開創新金融、新業務，可望令金融機構、FinTech新創公司，乃至最終顧客同蒙其惠，讓各種金融服務變得更有效率，表面上看來「利」遠大於「弊」；儘管如此，當各方積極推動創新大業的同時，依然不可對於潛在弊端與風險掉以輕心。

為協助業者掌握FinTech創新成果、亦可規避新型態風險，DIGITIMES特別於日前舉辦「2017智慧金融論壇－新金融?新業務?新風險」，一方面探討FinTech發展趨勢，及科技與金融的無縫融合之道，二方面則剖析新型態金融犯罪，俾使業界知所防範。

區塊鏈崛起  蘊藏巨大想像空間

1999年經濟學大師Milton Friedman提出預言，指網際網路會形成一股新興力量，將模擬實體世界給鈔票的動作，意即從A到B點傳送資金，進而減少政府對經濟、貨幣的操作。前述貨幣學派大師 Friedman 的預言在2008年開始實現，即是當前大家耳熟能詳的比特幣(Bitcoin)。

帳聯網路科技(AMIS)執行長劉世偉指出，如果大家同意，貨幣的價值與穩定度取決於民眾對政府的信賴，則Bitcoin即是值得探討的特例，它並無政府支撐，發行全由電腦操作，但價值竟能連年飆升，跌破主流經濟學家的眼鏡，背後玄機頗堪玩味；他認為無論比特幣或其底層技術區塊鏈，都不僅是貨幣或技術，而象徵人們看待當今經濟世界的新觀點。

儘管多數主流經濟學家對Bitcoin仍存若干疑慮，但面對其底層之區塊鏈技術，則持正面認同態度。綜觀當今金融清算機制，皆有中間人代為處理貨幣數字的加減，導致金融機構彼此間對帳、記帳程序繁瑣耗時，這般集中化的記帳系統，即使可行、可控且可靠，但卻犧牲效率，且扼殺多樣化應用可能性；區塊鏈的興起，意謂一種奠基於點對點網路拓樸架構的共享式帳本就此誕生。

劉世偉說，今後包括銀行、保險公司、證券商、IoT公司、電信營運商等需要使用新台幣記帳的各種角色，都能如同自由參與網際網路般，串接到區塊鏈平台參與運作，直接與平台上各個節點雙向互連，不僅完成對帳、記帳，亦藉由智能合約實現法遵需求，從而在可靠且低成本的前提下，推展各種應用想像空間。

妙用雲端資源  快速孕育創新服務

大多數企業都亟欲借助大數據分析，洞察目標顧客的採購行為、移動路徑與族群關係等有價值資訊，挖掘商業致勝線索；惟礙於資料來源愈來愈多，導致企業難有足夠資源分析處理所有數據，造成業務行銷視野備受限制。

AWS(Amazon Web Services)Business Development Manager韓宜安表示，該公司提供安全可靠、可擴展，且降低成本、高效能的雲端服務，有助企業填補本地實體機不足的缺口，巧妙運用大數據Pipeline當中的Amazon EMR、AWS Lambda、Amazon Kinesis、Amazon Redshift及Amazon Machine Learning等實用工具，以低成本負擔、運用少量資料啟動多項運算，待驗證結果無誤再進行擴展，藉此孕育創新金融服務。

韓宜安歸納，企業經由上述淬煉過程，可輕易產生四大類商業成果，首先是透過資料集中彙整、360度全面透析顧客價值，其餘包括開創新的營收來源、即時響應顧客需求，及藉由DevOps方式自動擴展線上服務業務。

然而如何善用雲端資源優勢搭上這股FinTech潮流呢？來自伊雲谷數位科技的資安部副總經理劉淑祉，特地分享協助金融產業布局雲端的案例。作為大中華區唯一的AWS Premier Partner，伊雲谷擁有完整的雲端生態系，並因應不同情境來推展需求，成功輔導不少金融企業上雲。

像是輔助大型金控公司借助AWS資源快速建置雲端空間，提供使用教學與API串接說明，以順利舉辦FinTech黑客松(Hackathon)競賽活動；另曾透過雲端資源拓展大數據應用，協助銀行成功建立網路輿情資料分析平台，打造FinTech創新研發實驗場域。

FinTech有助金融業開創新模式

雖然FinTech是熱門話題，但仍有不少人質疑，是否有創新改變的必要？例如台灣推動行動支付已屆兩年，回饋率仍高達23%，為何業者仍需付出高昂行銷成本來轉換消費行為？這般創新，是否走錯方向？

中華開發金控資深副總經理周郭傑指出，以英國為例，Overbanking現象比台灣明顯，但卻從2013年起積極鼓勵銀行創新，開放12家新銀行成立，亦設置Innovation Hub協助發展FinTech；探究英國推動FinTech如此急迫，乃是預見未來FinTech獨角獸將挾著跨業經營模式，大舉進軍各國金融市場，傳統國家界線難以阻擋，惟現今FinTech獨角獸多集中在美、中，迫使英國必須急起直追。

FinTech與生態圈息息相關，只因一般消費者平均花費75%時間與非金融體系接觸，銀行在時間、頻率都屈居劣勢，必須進入一個涵蓋消費者食衣住行育樂的生態圈，方可與消費者產生緊密互動。足見未來數位經濟活動，是一個與同業及異業間多元、開放連結的數位生態圈，現行側重交易介面的安全性規範的法規設計架構，顯然難以接軌數位生態，鬆綁與否，確實值得商榷。

周郭傑認為，當全球出現愈來愈多零手續費的ETF，甚至諸如Acorns零錢投資等創新服務持續問市，傳統金融業者必須省思，展望未來，自己是否被消費大眾持續需要？因此在創新求變的脈絡下，金融業者要做的，似乎不僅是運用科技形塑新服務、新功能，而是設法開創新模式。

建立混和型防禦網路  阻絕DDoS攻擊

2017年假後首個股市交易日，爆發台灣史上第一起券商集體遭DDoS攻擊勒索事件，連同2016年間英匯豐銀行遭DDoS攻擊，及Mirai物聯DDoS殭屍網路，讓大家不得不承認，「DDoS」是新金融、新業務下最主要的新風險之一。

A10 Networks台灣區技術經理陳志緯指出，DDoS並非全新威脅，但可怕之處在於攻擊手法持續演進，從過去的網路層攻擊、應用層攻擊、放大攻擊等單一攻擊型態，進化為複合攻擊型態。

大抵來看，DDoS攻擊可分為「頻寬耗盡型」與「資源耗盡型」兩種，後者係透過耗盡連線數、處理器等系統資源，導致受害企業的系統無法處理合法的服務請求。

面對這些DDoS威脅，企業一向倚重的防禦機制，是藉由防火牆、IPS、WAF或伺服器負載平衡器(SLB)開啟DDoS功能，惟面對愈趨詭譎的複合型攻擊，明顯力有未逮。

陳志緯建議，企業宜透過ISP Clean Pipe、CPE防禦設備，建立混和型DDoS防禦網路，藉由前者抵禦頻寬耗盡型攻擊，透過後者應付資源耗盡型攻擊。以CPE而論，A10提供Thunder TPS威脅防護系統，憑藉異常封包檢測、黑白名單、連線驗證、流量管控及應用層檢測等5道防護關卡，有效阻絕複合型DDoS攻擊。

值得一提的，Thunder TPS蘊含智慧型威脅偵測(Automated Baselining)機制，可記錄、分析與學習用戶端的各種應用服務流量，從而產生基準指標，意在透過漸趨嚴格的對策提高可疑流量的等級，儘可能減少誤判發生。

全方位防護  遏止數位金融之APT攻擊

放眼全球，包括美國空軍、Apple、微軟、IBM、三星電子等大型企業或機關，乃至Barclays、The Co-Operative Bank、PKO Bank Polski等金融機構，皆部署Fidelis Cybersecurity解決方案，以對付難纏的APT攻擊。

Fidelis亞洲區技術顧問邢廣耀指出，現今市場上不少資安產品，已能偵測惡意程式入侵、C&C連線行為，但仍存在諸多盲點，只因威脅生命週期往往歷經滲透、遠端遙控、橫向感染、資料洩漏等不同階段，多數資安設備的偵測範圍侷限在第一或二階段。

此外也僅能監看80、443或25等有限連接埠，無從識別未知通訊協定，加上即使動用沙箱檢測，亦無法辨析潛藏在PHP或ASP等「非啟動式」檔案的惡意程式，等於留下偌大防禦缺口，讓駭客有機可乘。

反觀Fidelis，包括用於看管網路的Fidelis Network、用於守護端點的Fidelis Endpoint等兩大產品，偵測與鑑識範圍都涵蓋所有端口(0？65535)、已知與未知通訊協定，且以元數據(Metadata)型式完整保留偵測結果，以利後續啟動時光回溯調查，還原不同階段駭客活動之完整軌跡，譬如某IP在何時從事何種通訊行為，傳送何種類型檔案；換言之，即使再高明的駭客，都會在抵達終點(資料洩漏)之前，難逃Fidelis的查緝而敗露行蹤。

一旦釐清惡意程式的傳播路徑、確認遭受感染端點，Fidelis Endpoint管理中心便會從遠端清除惡意Processes並進行還原，連帶讓駭客攻勢就此終止，順勢將企業面對資安事件的反應速度，提升到前所未見的制高點。

唯有新安全  方能成就新金融

論壇最後，由金管會資訊服處處長蔡福隆擔任壓軸講師。他表示，現今各大金融業者，莫不冀望借助數位化、互聯網、行動化、大數據等力量，拓展新金融業務，殊不知互聯網金融相連、依賴卻脆弱，加上大數據大風險、萬物皆可駭、駭客永遠早一步知道弱點，及敵暗我明等種種特性，導致新風險悄然近身。

面對嚴峻情勢，有志逐鹿新金融商機的業者，都必須全力建立新安全架構。首先亟需「強化資安防禦縱深」，以資訊安全監控中心(SOC)為軸心，打造一個兼具網路及伺服器安全、網站應用系統安全、資料庫及檔案安全、端點設備安全等完整防禦構面的體系，把資安防護的基本功做好，如此即可解決許多不必要紛擾。

蔡福隆接著說，其次必須「建立組織重視資安的文化」，要從組織整體的面向看待資安，並獲得高層主管鼎力支持、提撥充足的預算與人力，進而設立專責的資安單位、配置相當層級的資安主管；更重要的，企業應藉由資訊部門、資安專責單位與稽核單位，建立資安三道防線，並嚴格落實「實體隔離」之王道。

金管會參酌國際上主要國家現況，正積極規劃成立「金融資安資訊分享及分析中心」(F-ISAC)，希冀發揮通報、情資研判分析、資安資訊分享、資安諮詢服務及漏洞評估、技術訓練／研討會／國際交流、資安事件應變協助、資安專題研究分析、金融機構資安演練，及協助資安規範評估及建議等九大關鍵功能，同步提升銀行、保險業與證券業的資安防護能量。