一銀ATM遭駭客盜領後,一直是各界的熱門討論話題,安侯企業管理公司指出,這起事件說明了現行的金融資安檢測應付不了真正的駭客,以及採用封閉式網路不能做為安全保證兩個事實,提醒各個產業都需要認真面對。
安侯數位科技安全(Cyber Security)負責人副總經理謝昀澤今(14)日表示,目前新聞討論的焦點幾乎都著重在某一廠牌ATM可能的漏洞上,但更應該關心的是,一個已經依據主管機關規範,完成金融資安檢測與ATM安全檢測的銀行,為何還遭到駭客盜領?這起事件,至少已經說明兩個事實,一是現行的金融資安檢測應付不了真正的駭客,二是採用封閉式網路不能做為安全保證。 謝昀澤表示,主管機關近年已針對高風險金融業,發布了更嚴格的資安檢測規範,包含ATM在內,相關機構都需要完成檢測,且呈報主管機關,幾乎所有被規範的機關,無人不敢不遵照指示完成這項工作,但多數的金融機構只在乎完成主管機關交辦的任務,也就是在最低成本的情況下,準時完成檢測報告,而不在乎由誰檢測、檢測的深度如何、檢測的涵蓋度是否足夠,以及檢測的頻率是多久,所有參與檢測的專業人員都心知肚明,廉價的基礎檢測,只應付得了主管機關,無法應付數位空間中的真實駭客。
謝昀澤指出,銀行與其他重要單位,經常號稱採用不與網際網路直接連接的「封閉式安全網路」,包含此次受駭的ATM網路,是否真正「封閉」?可以確保「安全」?有沒有不曾往上呈報的「作業必要出口」?有沒有為資料拋轉需要所設計的「資料交換路徑」?或有沒為了所謂維修方便,而建立起隱藏不為人知的「維護管道」?
對於非金融機構的公司或組織,特別是過去號稱已經建立「機敏獨立高度封閉式網路」的單位,更沒有看熱鬧的理由。謝昀澤提醒,如果大家普遍認為很安全、很成熟的ATM防護機制都已經被攻破,未來只要是任何國際級駭客認為有利可圖的攻擊對象,無論是否為「封閉式網路」,如果沒有與時俱進,採取更進一步的積極作為,也都極可能被突破。
謝昀澤更指出,駭客選擇台灣進行金融攻擊,在國際駭客相關論壇上,已經開始逐步發酵,未來在台灣可能發生電網被突破導致大停電、飛航管制網被控制導致空中災難、財稅網被入侵導致人民財產損失、甚至國防網路被攻陷導致國安事件等,就再也不是電影中才會發生的情節,或資安會議裡才聽得到的危言聳聽的案例了。 謝昀澤說,姑且不論駭客選擇台灣的原因,是因為台灣經濟力強、ATM多,還是資安防護力弱?但數位科技安全的技術、觀念與法規,各國都在進步,是一個事實,希望這次事件可以為全台灣各機關、企業買到一個升級的契機,掌握這個契機,並找到解決問題的方向。