台灣開放銀行起跑！API大平台上線，看金融業的機會與挑戰|數位時代 BusinessNext

台灣開放銀行起跑！API大平台上線，看金融業的機會與挑戰

財金公司的開放API平台，在今（16）日正式上線，首波「公開資料查詢」的應用場景民眾也都能開始使用，台灣的金融產業，將邁入「跨界、跨域」的新階段。

買外幣、做定存，甚至是想刷信用卡賺好康，再也不必打開一家家銀行網頁費心查詢，這樣便利的金融服務已經是現在進行式。

近年國際間熱烈討論的開放銀行（Open Banking）風潮，已經吹向台灣。財金公司的開放API平台，在今（16）日正式上線，首波「公開資料查詢」的應用場景民眾也都能開始使用，台灣的金融產業，將邁入「跨界、跨域」的新階段，然而新型態的金融攻擊，也有可能誕生。

第1階段提供公開資料查詢，2、3階段研議推動

開放銀行的精神，是在消費者的同意下，將金融資料開放提供更方便的服務，而開放API（Open API）則是交換數據的樞紐。

API（Application Programming Interface，應用程式界面），可以想像成是連接軟體與軟體之間的橋梁，能幫助開發者省去從頭開發的精力，快速達成目的。比較知名的API像是Google Maps、Windows API、Facebook Graph API等。

金融業要挖掘新客戶，必須透過網路資源，開放API（Open API）是相當重要的工具。比如說，串接銀行API的第三方業者，可讓消費者直接在頁面上付款、轉帳，而不需要跳轉到銀行網站。

今年6月，金管會拍板定案，台灣採用不修法、不強制的模式，由銀行與第三方業者合作推動，並將開放銀行的進程分成公開資料查詢、消費者資料查詢、交易面資訊三大階段。金管會主委顧立雄表示，銀行公會及財金公司已經訂定完成第一階段自律規範、開放API的技術與資安標準。

第一階段API功能，都是以非交易面資訊為主，場景包含利率、匯率、ATM位置、分行資訊、產品資訊等。首波上線的銀行業者共有23家，以及麻布記帳（Moneybook）、實貸比較網（AlphaLoan）、CWMoney、員工福利整合平台（STAYFUN）、保單管家/保險小存摺、發票存摺共6家第三方服務公司（Third-Party Service Providers，以下簡稱TSP業者）。

為什麼需要制定共通標準呢？過去各銀行釋出的API，大多是自有規格。財金公司將資訊規格標準化的好處是，第三方業者將來要與各銀行合作時，能直接串接所有銀行系統，更有效率。隨著開放API平台推出，往後第三方業者可以在開放API平台上，看到所有參與銀行上架的API。

至於第二階段「消費者資訊查詢」與第三階段「交易面資訊」，因涉及個資保護，顧立雄表示，需考量客戶權益保障、爭議處理、損害賠償機制等問題，已經請銀行公會研擬具體規劃時程，上路時間仍有待主管機關訂定，「金管會後續將持續參考英國與澳洲推動開放銀行情形，視整體市場運作及使用者接受程度等，再研擬推動。」

API經濟崛起，新金融攻擊伺機而動

資策會分析師朱師右認為，未來十年，金融服務將變得無所不在，商品模式會依照需求目的客製化。研究與諮詢公司Gartner也預測，2021年將有65％的網路服務新應用，會透過API串聯跨產業服務，顯示「API經濟」正在快速崛起。

台灣開放銀行（Open Banking）起跑，是今年金融界的一大盛事，隨著「公開資料查詢」應用正式走入民眾日常生活當中，其背後也暗藏不少風險。趨勢科技觀察歐洲過去一年開放銀行的發展後，分析可能會有五種新型態的金融攻擊產生。

趨勢科技網路資安長 Ed Cabrera指出，開放銀行的概念，會讓駭客有更多機會竊取敏感的個人資訊和金融資料，他憂心地說：「 我們擔憂的是，面對如此大幅增加的攻擊面，業界或許尚未完全做好準備。 」

開放銀行的核心開放API（Open API），可能會讓駭客有機會進入後台伺服器竊取資料，因此第三方業者在開發服務時，必須有「資安是設計一環」的強烈意識。至於台灣，由於目前第二、三階段的資安規範尚未訂出，目前還沒有依循準則。

第二項攻擊，是針對金融科技公司的攻擊，在往後的生活中，消費者使用的許多金融服務，有許多會是與銀行合作的第三方廠商所提供，這些合作廠商或許不像銀行那樣資源充足，對於資料保護或許缺乏良好的實務經驗。

第三是針對應用程式或行動平台的攻擊，越來越多的金融服務會在手機、行動裝置上提供，一支支的App會是駭客攻擊的醒目標的，歹徒只要能取得這些應用程式的使用者名稱、密碼或加密金鑰，就有機會取得使用者的銀行資料並以其身分進行交易。就算這些應用程式不提供支付功能，但還是會儲存一些交易資料，歹徒就能精準掌握受害者的個人財務狀況。

最後，是針對使用者的攻擊，由於新的開放銀行應用程式將成為使用者存取金融資料與金融服務的首要方式，因此網路釣魚攻擊很可能成為歹徒獲利的重要來源。

台灣金管會非常強調做「負責任的創新」，意思是為了金融產業穩定，在創新的同時，不能免除相關責任。在台灣擁有豐富金融API經驗的凱基銀行創新科技金融處資深副總周郭傑認為，「與TSP業者合作期間品質管控，會是未來最關鍵的。」除了消費者必須留意自己的權利，周郭傑也建議，未來開放銀行的商業發展變成產業鏈時，恐怕需要有第三方認證機制，來認證TSP業者的品質。

責任編輯：陳映璇

全球最佳！中國附醫積極打造安全智慧醫院，亮眼表現獲 HIMSS肯定

中國醫藥大學附設醫院以雲端服務跟巨量數據分析為底層，推出安全的商業分析與人工智慧應用以實踐智慧醫院，該舉不僅大幅提升醫護服務品質，更獲得國際大獎肯定。

從身分驗證管理到內部通訊，自由系統助中國附醫深化安全防護力

為發揮醫療數據的最大價值，中國附醫尤其重視資訊安全防禦，陳俊良表示：「第一前提是合規、因應資安法優化系統、數據、裝置設備與人員的安全性。」具體作法有二：首先是因應資安法以縱深防禦的方式持續強化對私有雲環境與設備的安全管理；其次是加強整體資安可視性與自由系統合作，由其協助導入微軟各項的解決方案，並提供資安監測與即時異常通報等服務，讓中國附醫可以更具效率與效能的方式過濾與發現異常事件。

中國醫藥大學附設醫院資訊室系統維護組組長李祥民進一步解釋：「資安威脅無所不在，過去幾年，勒索軟體威脅更是防不勝防，為了解決這個問題，光是保護數據資料還不夠，必須從身份、裝置、帳戶等多元角度切入，因此，微軟在2021年開始提供資安解決方案時，我們就開始評估有能力解決問題的廠商，決定合作廠商的原因有三：首先是原廠推薦，由原廠的角度評估廠商有解決問題的能力，其次是自由系統展現出的專業技術與符合客戶需求的服務；最後，同時也是最重要的是，他們可以提供即時監測並提供通報服務，極大程度緩解中國附醫在資安人力與能力的欠缺，讓我們可以更好的落實安全防護。」

因此，中國附醫順利在2022年導入微軟資安解決方案，而這，不僅提升了中國附醫的資安防護能力，例如分別在2022年跟2023年預先偵測異常事件並成功防堵來自外部的安全攻擊，也讓資訊同仁可以專注在核心業務上，極大化資訊與數據價值。良好的合作體驗也讓雙方合作關係進一步擴展到應用程式端的安全防護，例如，將地面郵件系統搬遷到微軟的雲端服務，藉此降低Email Server的維運成本與損壞風險，同時，優化帳戶登入管理等。

陳俊良表示：「過去幾年，資安威脅不減反增，但是，透過縱深防禦的強化並且經由合作廠商加強即時監控與協助行政通報等服務，我們可以逐步優化資訊安全防護能量，並成功讓異常事件的發生頻率下降，而這，也是中國附醫可以順利獲得HIMSS的INFRAM Stage7跟EMRAM Stage7等認證的關鍵原因之一，為此，後續將持續與合作夥伴共同努力、與時俱進的深化安全防護能力。」

透過雲端身分驗證落實Single Sign On以提升縱深防禦能力

除了導入資安與雲端郵件之外，李祥民表示，中國附醫更於日前將雲端身分驗證跟院內簽核系統的登入機制彙整在一起，以優化登入安全。「接下來，我們會與自由系統合作，重新盤點、評估有哪些院級服務適合以Microsoft Azure AD進行單一登入與多因素驗證，藉此提升安全防護機制。」

自由系統業務經理許廷輔表示，資訊安全不可能一步到位，相反的，需要長期、動態的進行調整與優化，因此，需要組織上下齊心、一同落實安全防禦。「從2021年至今，我們發現，中國附醫不僅重視資訊安全，更身體力行、彈性敏捷的因應潛在威脅做出調整、改變，這是很難能可貴的地方，為進一步擴大成效，自由系統將針對中國附醫在（數據）資料安全與雲端服務等策略提供更多適合中國附醫的產品及服務。」

「智慧醫療、智慧醫院涉及的面向既廣且深，不可能單憑己力完成，需要專業的外部夥伴提供最佳支援與服務，我們很開心可以有自由系統這樣的夥伴，期待未來有更多合作火花，讓中國附醫可以一步一腳印的建構與完善安全智慧醫院布局。」關於中國附醫與自由系統的未來合作，陳俊良如是總結。