Fintech時代來臨 資安問題不可忽視
自從行動裝置成為多數消費者中不可或缺的工具之後,即快速改變傳統商業模式的運作流程,特別是在各國金融法規鬆綁之後,以往只能到實體銀行辦理的各種金融業務,現今已能輕鬆在行動裝置上完成,也帶動創新金融科技(FinTech)的蓬勃發展。
為因應消費型態改變,各金融業者在縮減實體銀行數量、減少員工人數、刪減ATM 外,也擴大在創新金融科技上的投資。根據KPMG及CB Insights共同發布的2016全球金融科技趨勢報告,2016年全球金融科技投資金額約為300億美元,相較於2015年191億美元將成長57%,以便能夠提供消費者更便捷服務。
如在雲端運算服務健全、人工智慧技術成熟下,在已有部分金融業者導入機器人理財顧問(Robo-Advisor),透過自動化回覆系統和網路資訊收集的功能,搭配長期收集該會員的金融操作行為,提供高價值、低成本的理財服務,以及彙整各種資訊所得的分析建議等。
只是此種服務因為很容易受到網路謠言的影響,所以多數業者推出機器人理財服務仍較保守,避免淪為成為特定組織炒作股票、基金的數位工具。
交易、生活資訊數位化 行動支付、P2P服務興起
在眾多創新金融科技之中,最為消費者熟知應用服務即屬行動支付,此種可取代現金交易、免去攜帶信用卡的服務,正在逐漸改變顧客的購物需求及消費行為。特別是當支付工具與行動裝置整合之後,如Apple Pay、支付寶、微信支付等,店家與商家可輕鬆收集消費者更多交易資料,進而運用巨量資料分析工具了解顧客需求,便於日後提供客製化服務。
當消費者生活中所有資訊都數位化之後,後續延伸出的服務項目就更多元化,如以往只能由銀行提供的貸款或融資服務,現今已有新型態的P2P(Peer to Peer)融資出現。
美國、大陸業者已可透過資料收集搭配巨量資料分析工具,確認貸款者是否有可能違約行為傾向,作為貸款與否的評斷標準,有助於縮短消費者取得融資的時間。儘管過去2年美國與大陸都曾爆發大量P2P違約的事件,但長期來看反而有助於讓P2P發展更為健全,未來當傳統金融業者也投入該項服務時,將可改善以往貸款流程過於冗長的問題。
在P2P融資服務之外,互聯網保險則是另個備受期待的新服務。以往保險產品是依照過去歷史紀錄及預測性指標,計算出訂出符合保險公司與顧客期待的價格,保險業者雖然會在續保時,依照個別保戶前一年度的資訊,如實際用路狀況等,被動調整費率高低,但卻無法反應每個消費者的差異度。
然而消費者訊息數位化後,保險公司只需透過收集行動裝置、車聯網等訊息,當保戶每天有定時運動或開車均符合安全限速,即可隨時主動調整保險費率,乃至於設計該消費者專屬的個人化保單,實現真正的保費差異化。
駭客攻擊受法多元化 勒索軟體、APT威力驚人
儘管FinTech衍生商機驚人,但也隱藏著金融產業不可忽視的風險,如2016年台灣便爆發首家銀行業者的ATM遭到駭客入侵案例,所幸最終在檢警調和合作下,並沒有造成太大的經濟損失。相較之下,孟加拉央行就沒有如此幸運,該行在美國紐約聯邦儲備銀行的帳戶,即因帳號與密碼被駭客組織竊取,最終損失高達8,100萬美元。
不可否認,在各國法規強烈要求下,金融產業資安防護等級都遠超過其他產業,但因組織本身擁有可觀經濟價值,自然會成為駭客組織攻擊的首要對象。
為此,金融組織為避免商業機密在網路交換過程中被駭客攔截,均已使用SSL加密技術,以確保網路交易過程中的安全。然而犯罪組織也看準多數資安設備欠缺解析SSL封包能力,選擇在SSL封包中植入多種惡意程式,再透過社群平台感染到用戶端電腦之中,成為企業難以預防的新型態攻擊。
如源自於俄羅斯的勒索軟體,即是一種透過木馬病毒形式傳播的惡意程式,有別於其他惡意程式將機密資料傳送到C&C伺服器的做法,該軟體進入企業內部之後會,將主動感染ERP或資料庫主機,並且執行特定加密工具,以便要求受害者或公司支付贖金。
以目前被偵測到的CryptoLocker勒索軟體為例,便預估至少取得300萬美元以上的贖金,至於另個勒索軟體-CryptoWall,亦預估獲得超過180萬美元,是金融產業必須正視的首要威脅。
至於多數資安人員熟悉且害怕的APT進階持續性滲透攻擊(Advanced Persistent Threat;APT),則是從2008年底被發現至今,尚且無法完全杜絕的攻擊手法。APT是駭客組織針對一個特定組織設計的複雜網路攻擊,由多種客製化惡意程式所組成,特別是當利用軟體漏洞入侵企業網路之後,會先收集該組織關於網路設定和伺服器作業系統的詳細資訊。
最後,當完成該組織網路分析之後,惡意程式才會慢將伺服器中的機密或消費者個資,傳送到駭客組織建置的C&C伺服器中,再藉此轉售給犯罪組織牟利。
根據國家資通安全會報技術服務中心提供資料顯示,前三大APT受駭產業分別為金融服務、媒體與娛樂與製造業,尤其有高達67%受駭組織完全不知道已被入侵,且惡意程式平均得達229天才會被發現,亦是發展創新金融服務不可忽視著重要威脅。
DDoS流量屢創新高 金融產業發展隱憂
從1990年代末期就開始出現的DDoS(Distributed Denial of Service;分散式阻斷服務攻擊),曾因資安設備開始內建DDoS防護機制後,一度在市場上消聲匿跡。
不過隨著各國基礎網路頻寬開始攀升,加上多數連網裝置因欠缺完善防護機制,屢屢傳出網路攝影機、硬碟機遭駭客入侵後,近來反而成為企業難以防禦的大流量攻擊手法。如2016年底美國知名DNS服務業者-Dyn,即便本身已有相當完善防護機制,但最終因DDoS攻擊量達到1.2Tbps,一度造成CNN、eBay、App Store等知名網站服務停擺,直到資安專家介入之後才暫時解決該問題。
而台灣多家知名證券營業商也在2017年初M傳出遭到駭客組織勒索比特幣,若不支付將以DDoS手法報復的事件,儘管沒有造成影響,但也證明台灣金融產業無法置身於資安威脅之外。
新世代DDoS攻擊不再侷限於傳統L3、L4網路層,而是擴增到應用主機、DNS等第七層,因此企業在現有傳統防火牆之外,也應添購可偵測第七層DDoS攻擊的WAF(Web Application Firewall;網路應用程式防火牆),搭配電信業者提供的網路清洗中心服務,才能對抗流量不斷屢創新高的DDoS攻擊,確保創新金融服務的穩定性。
標題:Lending Club是全球最大P2P融資服務業者,可惜因爆發融資造假事件,導致股票價值持續創下新低。(圖片來源:Lending Club)