下個銀行資安未爆彈!余宛如揭露公股銀行系統 30 年未更新

評論
評論
Photo Credit: 余宛如國會辦公室提供

相信大家都對遠東銀行遭駭的事件還心有餘悸,為了防止下個遠銀事件再度發生,立委余宛如今天揭露公股銀行核心系統超過 30 年未更新的重大問題。

首先她向大家介紹公股銀行核心系統始於 1982 年財政部推動銀行電腦連線作業之計畫,當時主要以 COBOL 撰寫,並採用 IBM、Unisys 等非開放性主機架構;當然在 30 年前用這種封閉式架構很合理,但到了現在全互聯網時代老早不堪使用,只能在原有系統上疊床架屋嫁接不同程式。這讓公股銀行整體系統更難進行即時性的重大更新,而且進一步疊加了營運成本。據了解,每年公股銀行光要維護這些舊核心系統專屬主機,就要花上數億元的費用,而且另一方面懂 COBOL 與舊核心系統的人材越來越少,讓公股銀行資安成為淺而易見的未爆彈。

Photo Credit: 余宛如國會辦公室提供

不僅如此,余宛如還點出公股銀行近年因獲利下降,導致在選擇金融系統廠商時由於預算有限,使得化作海外或本土公司的中國廠商容易低價得標,進一步形成更加重大的兩岸資安危機。不要說銀行,事實上台灣壽險業也陷入此類重大危機,她點名兆豐、明台、旺旺友聯與新光人壽等台灣壽險業,已採用像易保、中科軟這種顯而易見來自中資的廠商建立核心系統,讓重要程度可比戶政資訊的保戶個資容易落到中國廠商手上。

Photo Credit: 余宛如國會辦公室提供

也因此她極力呼籲立院趕緊通過本會期排在優先法案的「資訊安全法」,也指出金管會要儘速把資安環節列入銀行重要評鑑項目之一。

行政院工程委員會企劃處長陳尤佳則是回應,根據採購法公股銀行目前可以在招標時就排除中國廠商投標與產品,若廠商有中資疑慮也可請經濟部投審會判別。金管會銀行局組長邱美珠則是直接回應余宛如訴求,直接將資安列為銀行稽核重點。

當然在資安上注重中國因素確實是必要之舉,但立法是不是唯一途徑呢?INSIDE 認為立法之前,這件事就可以用比較有創意也直接的做法先行:為什麼不編列一定獎金預算,找白帽駭客定期為公股銀行體檢呢?去年第一銀行詐領事件手法不新鮮,6 年前美國白帽駭客 Barnaby Jack 就公開示範過啊!如果公股銀行有了幾輪白帽駭客的洗禮加上去識別化後開源資料,事實上台灣公股銀行有潛力可以成為其他金融體系的典範。

若是談論立法與行政部分,INSIDE 則是認為首先要突破的是採購方面,目前泛政府機構(含國營企業在內)採購設備邏輯是得在今年就先規劃好明年或後年的部份,換句話說,明年或後年買到的硬體與軟體都是今年的東西,資安上就會有一個不得不花心思去更新的 gap 存在;第二最肉搏也最直接,這些用 COBOL 的公股銀行系統到底要不要全面重寫?什麼時候做?怎麼做?會對民眾與金融秩序造成什麼衝擊?這些都是立法者或行政端需要審慎評估的重大問題。

評論