因應FinTech 可循六大重點實現資安防護
近幾年金融科技(FinTech)非常熱門,逐漸成為21世紀的金融顯學;只因為其無論在借貸、支付、數位貨幣、產品與服務、風險與安全評估、財富管理等諸多領域,都正在改變既有金融服務。
勤業眾信聯合會計師事務所副總經理溫紹群指出,在2011~2015年期間,亞太地區的FinTech投資金額急遽攀升,從1.49億美元爆漲至34.84億美元,展望未來可望持續增長;此乃由於,一方面肇因於創新技術的先進,二方面企業或個人有替代性金融解決方案的需求,兩者皆有助於FinTech之成長。
事實上,FinTech不僅在亞太地區火紅,放眼全球亦是熱力四射。例如非洲、印度等地文盲不少,多數人不會填表單以致無法開戶,於是藉助科技方法,由手機門號綁定銀行帳戶,透過簡訊進行轉帳;至於歐美則時興P2P借貸平台,訴諸借貸雙方去中間化(意指銀行),由借方上網提出期望的貸款金額與還款條件,而貸方提出期望收受的利率,使兩方達到最佳媒合。
溫紹群接著表示,隨著認證及生物識別技術、雲端運算、機器學習、電子支付及行動支付、區塊鏈及分布式分類帳、大數據等六項科技的加持,孕育了智慧金融服務,從而帶動效率提升、製造新商機、更好的風險管控及改善人們的生活,促使各國的金融服務更具競爭力。
以亞洲而論,由於除大陸外多走「正面表列」高度管制模式,故多數金融產業仍將重心放在內部企業導向的數位化,藉以優化傳統金融方案,例如透過發展多通道,以改善使用者介面與使用者體驗。
至於傳統金融業者如何提升數位能力?溫紹群舉歐美國家的例子,認為最快的途徑,無非就是取材自外部資源,可行方式包括了策略聯盟(如紐西蘭Westpac銀行與紐約新創銀行Moven合作)、購併(如西班牙BBVA銀行購併購美國Simple線上銀行),乃至創投基金及資產管理部門投資,例如匯豐銀行投資2億美元於FinTech企業。
駭客經濟蓬勃 亟思尋求防範之道
然而亞太區發展FinTech,仍存在一些挑戰與障礙,包含可支持數位金融業務成長的資金,可允許提供國內與跨境數位解決方案的法規環境,可跨越文化與語言差異、適用於亞洲各國的數位解決方案,可推動金融服務數位化進程的人才庫,以及可支撐執行數位化進程的虛、實之安全基礎建設。特別是最後一項,連帶造就了蓬勃的駭客經濟商業模式,譬如從2015年10月迄今,接連有菲律賓一家不具名銀行、越南先鋒銀行及孟加拉央行遭受網路攻擊,導致原本被認為安全無虞的支付電文系統遭駭客利用,因而釀成可觀的金錢損失。
「現今網路詐騙年產值超過千億,已成為第三大黑色產業,」溫紹群說,依據2016年世界經濟論壇的全球風險報告內容所述,每年因網路犯罪造成的經濟損失逾4,450億美元,另根據調查,目前透過地下網路黑色產業鏈方式,駭客平均月入84,100美元,可說相當誘人。
論及防範之道,溫紹群建議應以資訊治理與安控手法為基礎,從而因應新興科技變革與產業創新,調適整體資安防護措施。歸納數位化轉型之資訊安全防護重點,則分為六大項目,依序是敏捷開發與適量安控、行動應用App安全檢測、大數據分析個資去識別化、雲端委外安全管理、資安事件應變與數位鑑識,以及網路威脅情資預警。
其中「敏捷開發與適量安控」,意指業者欲求Time-to-Market,即應落實Secure Coding觀念,考量最新的程式安全開發漏洞,畢其功於一役,提高程式碼安全性。有關「行動應用App安全檢測」,可參酌由NCC、工業局各自因應出廠前後所擬定的檢核項目。在「大數據分析個資去識別化」部份,可依循ISO 29100/29101標準而做到個資去識別化,並保留資料分析的最大價值。
而在「雲端委外安全管理」方面,可藉由強化ISO 27001(ISMS)並持續改善、透過自動化工具的輔助強化資安控管有效性,及透過CSA STAR/Euro Cloud ECSA雲端標準深化控管的有效性等具體作為加以實現,或委由專業會計師進行資訊服務委外的安全、隱私與服務管理查核。有關「資安事件應變與數位鑑識」,應建立完整的資安事件應變處理流程與機制,透過嚴謹的數位鑑識原則,對各類型風險事件進行證據保全處理與分析,依據各風險場景定期演練檢討。至於「網路威脅情資預警」,則透過產業工會與區域或全球情報網連結,建立資安情報預警分析與管理能力(Cyber Intelligence)。