安侯企業管理公司數位科技安全負責人謝昀澤指出,一銀爆發史上最嚴重 ATM遭駭客盜領案件,目前新聞焦點都放在某一廠牌 ATM型號的漏洞,但一個已依主管機關規範,完成金融資安檢測與 ATM安全檢測的銀行,為何還遭到駭客盜領,主要有兩個因素,也是各產業需認真因應的重點。
謝昀澤表示,此事件凸顯現行金融資安檢測,已應付不了真正的駭客。他指出,主管機關近年針對高風險金融業發佈更嚴格的資安檢測規範,包含ATM在內,相關機構都需要完成檢測,且呈報主管機關。
然而,多數金融機構只在乎完成主管機關交辦任務,多在最低成本前提下準時完成檢測報告,而不在乎由誰檢測,也忽略檢測的深度、頻度與涵蓋度是否足夠。但廉價的基礎檢測,只應付得了主管機關,無法應付數位空間中的真實駭客。「這與我們抽血量身高交健檢報告,就想知道身體是否真的健康,是一樣的道理。」根本是緣木求魚。
此外謝昀澤認為,封閉式網路不能做為安全保證。多數企業經常號稱採用不與網際網路直接連接的「封閉式安全網路」,包含此次受駭的 ATM網路,然而,封閉網路是否真正封閉到可以確保安全?是否有未曾往上呈報的「作業必要出口」,或有無為了維修方便而建立不為人知的「維護管道」?
他擔憂,若連普遍認為安全、成熟的 ATM防護機制,都已被攻破,在未來只要是任何國際級駭客認為有利可圖的攻擊對象,無論是否為封閉式網路,若未與時俱進,採取更進一步的積極作為,也都極可能被突破,「電網被突破導致大停電、國防網路被攻陷導致國安事件等,都不會再是電影中的情節」。
謝昀澤期望,經由這次事件,政府與企業能檢討數位科技安全的風險觀念、技術與法規,掌握此一契機,並找到解決問題的方向。