因應FinTech 可循六大重點實現資安防護

勤業眾信聯合會計師事務所副總經理溫紹群。

近幾年金融科技(FinTech)非常熱門，逐漸成為21世紀的金融顯學；只因為其無論在借貸、支付、數位貨幣、產品與服務、風險與安全評估、財富管理等諸多領域，都正在改變既有金融服務。

勤業眾信聯合會計師事務所副總經理溫紹群指出，在2011~2015年期間，亞太地區的FinTech投資金額急遽攀升，從1.49億美元爆漲至34.84億美元，展望未來可望持續增長；此乃由於，一方面肇因於創新技術的先進，二方面企業或個人有替代性金融解決方案的需求，兩者皆有助於FinTech之成長。

事實上，FinTech不僅在亞太地區火紅，放眼全球亦是熱力四射。例如非洲、印度等地文盲不少，多數人不會填表單以致無法開戶，於是藉助科技方法，由手機門號綁定銀行帳戶，透過簡訊進行轉帳；至於歐美則時興P2P借貸平台，訴諸借貸雙方去中間化(意指銀行)，由借方上網提出期望的貸款金額與還款條件，而貸方提出期望收受的利率，使兩方達到最佳媒合。

溫紹群接著表示，隨著認證及生物識別技術、雲端運算、機器學習、電子支付及行動支付、區塊鏈及分布式分類帳、大數據等六項科技的加持，孕育了智慧金融服務，從而帶動效率提升、製造新商機、更好的風險管控及改善人們的生活，促使各國的金融服務更具競爭力。

以亞洲而論，由於除大陸外多走「正面表列」高度管制模式，故多數金融產業仍將重心放在內部企業導向的數位化，藉以優化傳統金融方案，例如透過發展多通道，以改善使用者介面與使用者體驗。

至於傳統金融業者如何提升數位能力？溫紹群舉歐美國家的例子，認為最快的途徑，無非就是取材自外部資源，可行方式包括了策略聯盟(如紐西蘭Westpac銀行與紐約新創銀行Moven合作)、購併(如西班牙BBVA銀行購併購美國Simple線上銀行)，乃至創投基金及資產管理部門投資，例如匯豐銀行投資2億美元於FinTech企業。

駭客經濟蓬勃  亟思尋求防範之道

然而亞太區發展FinTech，仍存在一些挑戰與障礙，包含可支持數位金融業務成長的資金，可允許提供國內與跨境數位解決方案的法規環境，可跨越文化與語言差異、適用於亞洲各國的數位解決方案，可推動金融服務數位化進程的人才庫，以及可支撐執行數位化進程的虛、實之安全基礎建設。特別是最後一項，連帶造就了蓬勃的駭客經濟商業模式，譬如從2015年10月迄今，接連有菲律賓一家不具名銀行、越南先鋒銀行及孟加拉央行遭受網路攻擊，導致原本被認為安全無虞的支付電文系統遭駭客利用，因而釀成可觀的金錢損失。

「現今網路詐騙年產值超過千億，已成為第三大黑色產業，」溫紹群說，依據2016年世界經濟論壇的全球風險報告內容所述，每年因網路犯罪造成的經濟損失逾4,450億美元，另根據調查，目前透過地下網路黑色產業鏈方式，駭客平均月入84,100美元，可說相當誘人。

論及防範之道，溫紹群建議應以資訊治理與安控手法為基礎，從而因應新興科技變革與產業創新，調適整體資安防護措施。歸納數位化轉型之資訊安全防護重點，則分為六大項目，依序是敏捷開發與適量安控、行動應用App安全檢測、大數據分析個資去識別化、雲端委外安全管理、資安事件應變與數位鑑識，以及網路威脅情資預警。

其中「敏捷開發與適量安控」，意指業者欲求Time-to-Market，即應落實Secure Coding觀念，考量最新的程式安全開發漏洞，畢其功於一役，提高程式碼安全性。有關「行動應用App安全檢測」，可參酌由NCC、工業局各自因應出廠前後所擬定的檢核項目。在「大數據分析個資去識別化」部份，可依循ISO 29100/29101標準而做到個資去識別化，並保留資料分析的最大價值。

而在「雲端委外安全管理」方面，可藉由強化ISO 27001(ISMS)並持續改善、透過自動化工具的輔助強化資安控管有效性，及透過CSA STAR/Euro Cloud ECSA雲端標準深化控管的有效性等具體作為加以實現，或委由專業會計師進行資訊服務委外的安全、隱私與服務管理查核。有關「資安事件應變與數位鑑識」，應建立完整的資安事件應變處理流程與機制，透過嚴謹的數位鑑識原則，對各類型風險事件進行證據保全處理與分析，依據各風險場景定期演練檢討。至於「網路威脅情資預警」，則透過產業工會與區域或全球情報網連結，建立資安情報預警分析與管理能力(Cyber Intelligence)。