[查士朝] 一銀盜領案的後續檢討
[查士朝] 一銀盜領案的後續檢討
2016.08.04 | 科技

在一銀事件處理告一段落之際,應邀對一銀事件最後做個回顧與檢視。為此,我們特別再把相關的新聞都拿出來檢視一次,可以發現隨著時間的演進,事件的全貌也越來越清楚:

圖說明

第一銀行ATM自動大量吐鈔,遭盜領七千多萬元。圖片為第一銀行示意圖,非指涉此分行為出事銀行。圖片來源:第一銀行網站。

當然,詳細的路徑可能沒有那麼具體的呈現,像是如果是透過釣魚郵件來散佈,那麼這釣魚郵件是感染到哪台電腦?接下來,到底駭客是怎樣可以持續地從外網連接到內網,這條路徑到底找出來沒有?

筆者並不苛求在新聞上要看到這方面的資料。基於保護銀行資訊安全的角度,不用對外給到那麼詳細的資料。有些令一般大眾疑惑有內鬼的疑點,例如駭客如何知道實體機器與 IP 的對應,其實只要有人在某台 ATM 前與駭客通電話,一台一台換 IP 測試,看看吐鈔口有沒有打開,就可能可以知道答案。

圖說明

像這類追本溯源,除非抓到操作網路的人,不然也無法確知答案。尤其當駭客知道用 sdelete 去刪除痕跡的情況下,的確不容易找到軌跡。在進入正題前,筆者先來聊聊為何鑑識人員一般都得花很大功夫,去每一台主機去找跡證。

內網流量紀錄的好處

邏輯上,如果第一銀行有把所有內網的傳輸資料都記錄起來,那駭客做了甚麼,以及攻擊的軌跡就都清楚了。但一般企業因紀錄的硬體成本太高很少採用這個作法。簡單舉例計算,如果每秒網路傳輸是 10M bps 的話,約當每秒傳 1.25 M 位元組,一小時就需要 4.5 G 的容量,而這只是其中一台電腦的傳輸量。

所以除非一些特別的狀況,不然很少有人會把所有的網路封包都存起來。畢竟要花的成本太高了!正因為沒有這樣的資料,因此辦案人員只好把每一台主機的硬碟來掃掃看有沒有安裝後門程式的痕跡,但是如果程式被刪了,當然要重建路徑就有困難。

建議一、這次事件事實上讓金融機構帶來許多重新檢視資訊安全的機會,但絕不能最後只是換機器或補人來解決而已。金融機構應該整體去思考整個資訊安全的策略與佈局,做出最佳化的配置!

我為什麼一開始要先強調這個?最主要還是回來根本概念:很難有絕對安全的事,如果甚麼都不做最安全。

只要你要提供服務,就有可能有漏洞,進而有被駭客攻擊的可能。重點是你要知道問題然後有一定的對策。舉例來說:現在大家攻擊的箭靶之一是為何不升級 Windows XP,但如果照新聞寫的,駭客是透過更新去啟動 telnet 服務,其實要在非 Windows XP 的電腦透過更新去做到這件事也不是件難事。你要大家花那麼多錢去把系統都更新了,雖然增加了難度,但就短期成本效益來說,並不一定划算。

圖說明

現在大家攻擊的箭靶之一是為何不升級 Windows XP,但如果照新聞寫的,駭客是透過更新去啟動 telnet 服務,其實要在非 Windows XP 的電腦透過更新去做到這件事也不是件難事。

長久來說,那些機器是該更新!但此時如果請一批資安專家去把防火牆的設定重新徹底檢視,並且加強對於內網的流量監控會更有效益。類似的例子還很多:例如做流量監測,其實也不是說要立刻去搞個巨量資料的解決方案,去把所有的網路封包都收起來分析。事實上,只要能夠先做好對於資料流的記錄與分析,不需要記錄傳輸內容,只看每個連線來源、目的與頻率,就可能有一定的效果了,這需要的成本就會差很多倍。

但為何大家會傾向於提這些大規模採購?以筆者個人的經驗來看,買和換這件事最簡單!對銀行來說,這是最快跟大家證明,我行投資資訊安全來解決問題的方法。同時,對外部一群虎視眈眈的廠商來說,這當然可以有一筆機會財,也會朝那個方向推進。

圖說明

筆者個人推測,現在大概每家銀行或金控的資安部門,每天會接到數通跟你講說他有各種方案讓你不要成為一銀的廠商電話。我在這邊首先呼籲,如果因為這件事情,讓老闆或社會大眾開始對資安受到重視,當有一筆資金挹注,還是要冷靜地去按照原先排定的優先順序去執行資安工作,畢竟 ATM 憑空吐出鈔票,大概是資安事件裡面最容易受到大眾注目的事件,以後不見得會再有這樣的事件發生。如果最後只是得到買了一些設備,或是讓資安部門補給個人,這就會很可惜。

建議二、既有的資訊安全規範都已經有要求,但重點在於實際落實

很多前輩與專家有提到:雖然一銀有通過 ISO/IEC 27001 與 ISO/IEC 20000,但範圍不及於 ATM。但其實在 ISO/IEC 27001 的 2013 年版,相較於之前的 2005 年版,特別強調範圍的決定應該是要有一個評估的過程,我覺得外稽單位應該要負起一定的責任,用這條去要求各組織資訊安全管理制度的涵蓋範圍。不過除了 ISO 27001 以外,我國本來金融機構就有金融機構辦理電腦系統資訊安全評估辦法,其中就明訂:

「直接提供客戶自動化服務或對營運有重大影響之系統(如電子銀行、分行櫃台、ATM自動化服務等系統)應該每年至少辦理一次資訊安全評估作業」。而資訊安全評估作業包括:
(1)資訊架構檢視、
(2)網路活動檢視、
(3)網路設備、伺服器及端機等設備檢測、
(4)網站安全檢測、
(5)安全設定檢視、
(6)合規檢視。

其中,有關合規檢視主要是要評估是否有滿足民國九十四年所訂定之「金融機構資訊系統安全基準」。此外,也要求要進行社交工程演練。

很諷刺的是,如果這次一銀事件如報導,代表他們社交工程演練失效,網路設備檢測未找出問題,網路活動檢視未發揮應有的功能。而這可以回推到讓他們通過 ISO/IEC 27001:2013 的外部稽核單位,這算是法規有訂定的要求,這是在決定 ISO/IEC 27001 範圍的必要項目,也就是說,ATM 與相關系統是屬於規定當中「直接提供客戶自動化服務或對營運有重大影響之系統」,外部稽核單位應該直接用這條就可以取消沒有把 ATM 納入範圍金融機構的 ISO/IEC 27001 證書。

所以不是國內沒有規範,重點在於規範的落實,尤其像是金融機構辦理電腦系統資訊安全評估的規定。這規定的檢測方向大致完備,除了在網路活動檢視檢視上,這點其實只要補強對於內網流量的監控與分析即可。

建議三、正視銀行短期不太容易找到一群技術專家的問題,建議先加強資安部門的稽核權力

前述規範落實其實有一個可能性是有執行但是看不出問題。這可能是因為技術上的難度,資安是一個很廣泛的領域,很少有人全部都懂,因此包括在稽核上面有些人一聽到一些專有名詞,一方面大家過去以訛傳訛就有一些刻板印象就算了,另一方面可能也是因為不懂想說不要丟臉就不追查下去。舉例來說,大家都講 ATM 是 SNA 專屬網路,所以可能你稽到這邊就停了,但是專屬網路和封閉網路是不同的,專屬網路是底下的協定是有專利你不能亂實作,但是並不見得外面不能連,我不知道一銀實際上是怎麼做,但是網路上搜尋可找到很多 SNA 和 TCP/IP 的整合方案,事實上,這次一銀事件也是透過 TCP/IP 從遠端連到 ATM。所以要執行工作來說,技術還是需要加強。

然而,目前一般資安稽核人員的能力要求,即便要求上過 ISO 27001 LA 課程或是取得 CISSP,對於特別技術還是不見得很懂,因此資安或是稽核人員,對於他的稽核標的,其實除了管理知識以外,技術知識也有一定的需要。

圖說明

不過,要找資安人員的話,一家銀行要自己擁有很多專業的資安人員很困難,畢竟一般銀行資訊人員的薪水和專門做資訊技術的公司相比有些落差,而且一個工作環境如果大部分都不是那個屬性,人很容易會覺得孤單。因此我講專業重要,但考量到現實,不太可能立刻去配置那麼多專業人力。技術專精的人才銀行如果銀行聘請有困難,除了要找外部顧問協助外,另一個就是儘可能結合很多銀行,或是由銀行公會去建立各類設備的安全基準,當然銀行公會有訂定「金融機構資訊系統安全基準」,這主要是要做出針對各種不同系統的版本。

此外,筆者覺得資安部門的稽核權力應該要加強,一般資安措施要落實,你稽核開缺失最快,畢竟你缺失到時候要被公司的董事會討論,然後直接就可以由董事會要求進行相關改善工作。另一方面,常聽到園區有些單位,如果抓到委外廠商違反資安規定,只要被抓到一個次數那個廠商以後就永不合作;也聽說在外商工作的朋友說,凡是有違反資安規定的情況,抓到就會開除。當然要做到這些事情可能有些爭議,但是正如商鞅立木建信一般,就是豎立一些典範就會有效果。

建議四、有系統的亡羊補牢吧!

圖說明

有系統地亡羊補牢吧!

最後,我們一般可以相信,銀行一般都有做到一定程度的資安防護,只是可能沒有那麼完全。因為銀行或金融單位的資訊資產龐大,我想或許許多銀行單位已經有在做,都應該已經盤點出所有的資訊資產以及設定。因此就是再次去確認這些資訊資產的設定與實際狀望相符,並且可以像滅火器一樣,直接就標示到底這個就滅火器上次檢查是甚麼時間點。雖然資訊資產可能不容易做這樣的標記,但是在資料庫或清單上,應該可對於每個重要資訊資產,標示出上次做資安檢查的時間,這樣即便你每次執行是用抽樣,最重要的是在一個期限內一定會全部檢查到。

《數位時代》長期徵稿,針對時事科技議題,需要您的獨特觀點,歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw,文長800至1000字,兩天內會回覆是否採用,文章會經編輯潤飾,如需改標會與您討論。

@@ACTIVITYID:638@@

往下滑看下一篇文章
從收納空間到整合生活即時服務,居家整聊室打造家事服務的新商模
從收納空間到整合生活即時服務,居家整聊室打造家事服務的新商模

對居家整聊室來說,經營的核心,是把人放在第一位──不只照顧客戶,也照顧團隊。這家全台首創的專業收納公司,不只替別人「整聊」生活,更懂得先把自己內部「整聊」好。創辦人鄭博元與黃恩頡深知,品牌要長大,不能只靠熱情與經驗,還要有一套能承接人、事、客戶與未來的管理方法。因此,他們在沒有IT人力編製的情況下,借助叡揚 Vital CRM專業夥伴的力量建立更有溫度、更有秩序的管理方式。

市場需求驅動家事服務崛起,居家整聊室搶佔先機

現代人追求高品質生活卻苦於時間有限,這種兩難的困境促使居家清潔、到府收納等家事服務產業蓬勃發展,著眼於市場需求成長,居家整聊室於2017年成立,成為到府收納服務市場的先驅。

居家整聊室共同創辦人黃恩頡表示,公司成軍初期專注在到府收納服務,之後為因應整聊師人力有限且缺乏標準化流程的挑戰,於2018年開辦整聊師認證課程,每年培訓近2,000位整理收納專才,累計學員數已突破萬人。隨著專業度與口碑的提升,居家整聊室的事業版圖不斷擴大,自2024年起陸續與信義居家及多家大型居家服務平台建立長期合作關係,為這些合作夥伴提供專業的整理收納服務。

3F0A2811.JPG
居家整聊室共同創辦人黃恩頡以數據導向策略,讓團隊從顧客互動到轉換都具備可追蹤與可優化的依據。
圖/ 數位時代

在年營收與客戶數量逐年成長的同時,居家整聊室也迎來新的營運挑戰,「如何深化與既有客戶的互動,提高顧客回購率,成為我們的關鍵課題,」居家整聊室創辦人鄭博元說,當時公司經常接獲舊客戶的主動詢問,引發團隊重新省思,在舊客經營上該如何從被動回應轉為主動經營、吸引更多回頭客使用服務?但在過程中卻發現,傳統使用Excel表格管理顧客互動的方式,已經很難滿足這樣的業務需求。

導入Vital CRM,以系統強化客戶經營力

居家整聊室最初在設計Excel表格欄位時,其實參考了RFM客戶分析模型,希望這份表格能兼具記錄與再行銷的功能,但實際執行上卻免不了面臨人工輸入資料的挑戰,包括資料正確性與即時性難以保證、缺乏統一的資料記錄邏輯、同仁自行添加欄位等。

這些問題導致Excel表格最後僅剩下基本的記錄功能,很難從中篩選符合特定條件的客戶進行再行銷,也不容易對新進業務同仁進行教育訓練,因為他們雖然能取得客戶名單,卻無法辨識客戶的最新狀態和互動歷程。

為此,居家整聊室決定導入CRM,以系統取代人工作業,提高舊客經營的效率與成效。鄭博元表示,在評估多款 CRM 系統時,叡揚系統開放式 API 設計最能對應他對未來系統整合的藍圖規劃,亦能有效解決既有手動流程導致的資訊落差與溝通延誤等問題。後續功能驗證階段,他發現 Insight 模組的分析設計具備清晰的管理理論依據,進一步展現系統的專業深度與實務價值,加上叡揚在業界的口碑與多產業服務經驗,最終促成了雙方的合作。

3F0A2745.JPG
居家整聊室創辦人鄭博元運用數位工具解決團隊營運痛點,進一步開啟全新的商業想像與合作契機。
圖/ 數位時代

應用階段1》聚焦深化客戶互動與業績管理,創造4大效益

居家整聊室採兩階段循序漸進的策略,逐步擴大系統應用成效。第一階段聚焦於強化客戶互動與業績管理,第二階段則拓展至全面性的數據整合,串起客戶從初次加入會員到最終完成交易與付款的完整作業流程。

黃恩頡進一步說明,第一階段的應用以業務和管理團隊為主,業務團隊透過Vital CRM瀏覽客戶資料與商機名單、詳實記錄每次客戶互動歷程,或根據特定條件篩選目標客戶發送簡訊、主動創造接觸客戶的機會。管理團隊則藉由Insight報表中的關鍵指標,如:轉換率、客戶RFM分數等,定期檢視業績進度及目標達成情況,實現數據驅動的精準管理。

居家整聊室不只提昇顧客回購率,更創造三大管理效益。第一、提升團隊的業務能力。由於Insight模組將商機、消費、負責業務和互動行為整合在一起,使管理團隊可以用數據掌握業務同仁的工作績效,而不是依賴主觀感受,不只溝通變得更順暢,還能據此樹立行為標竿,讓業務同仁更清楚該怎麼經營客戶才能提升業績表現。

第二、保留完整客戶資料,避免因人員異動而造成客戶流失的風險。

第三、為新進業務員打造最佳學習曲線。透過Insight數據分析結果,新進業務員能夠清楚知道成交率與業績目標間的關聯性,提升了主動聯繫客戶的意願和積極程度。此外,還能彈性調整新進業務員手中名單的新舊客戶比重,使其先與舊客戶聯繫、磨練互動技巧,之後隨著專業度提升,再逐步增加新客戶比重。

第四、合理配置顧客資源,最大化商機轉消費的比例。例如,將高品質新客名單分配給超級業務員(Top Sales)、根據轉換率調整業務手上的新客名單等,實現客戶資源的最佳配置。

3F0A2691.JPG
居家整聊室善用數位工具落實經營策略,從資料管理、人才培育到資源配置,全面強化商機轉化力。
圖/ 數位時代

應用階段2》以Vital CRM為核心,打造無縫整合的客戶服務流程

居家整聊室邁向第二階段的應用,即以Vital CRM為核心,整合品牌官網、會員系統、對話機器人、訂單系統及整聊師派單APP等營運系統,讓數據可以自動拋轉至不同系統中,省去不必要的人工登打作業,大幅提升團隊的工作效率。

鄭博元詳細說明如何打造無縫整合的客戶服務流程。他表示,人們經由官網或LINE加入會員後,相關資料會直接匯入Vital CRM,方便業務同仁與新會員聯繫,一旦新會員決定使用服務、也就是商機成功轉化為訂單後,Vital CRM就會將必要資訊拋轉至排班派單系統,自動進入後續服務流程,包括安排居家整聊師到府服務、產出付款連結等,當客戶點選連結完成支付,相關資料隨即回傳至CRM系統,自動更新為結案狀態,形成一個完整閉環的服務旅程。

3F0A2660.JPG
鄭博元(左1)指出,叡揚CRM Insight模組展現教科書等級的邏輯結構,精準對齊團隊管理需求,成為最終導入的關鍵契機。
圖/ 數位時代

展望未來,居家整聊室除了持續深耕到府收納領域,更計劃將自身數位化成果升級為商業解決方案,賦能更多家事服務同業啟動數位轉型。鄭博元強調,導入CRM的價值,不僅是解決內部團隊在舊客經營上的挑戰,更為公司開啟了一扇嶄新的商業大門,日後,若能成功將現行「以Vital CRM整合客戶服務流程」的應用機制轉化商業模式,相信將有機會開拓更寬廣的市場版圖。

登入數位時代會員

開啟專屬自己的主題內容,

每日推播重點文章

閱讀會員專屬文章

請先登入數位時代會員

看更多獨享內容

請先登入數位時代會員

開啟收藏文章功能,

請先登入數位時代會員

開啟訂閱文章分類功能,

請先登入數位時代會員

我還不是會員, 註冊去!
追蹤我們
電商終局戰
© 2025 Business Next Media Corp. All Rights Reserved. 本網站內容未經允許,不得轉載。
106 台北市大安區光復南路102號9樓