第一銀行(簡稱一銀)在2016年爆發大規模ATM盜領案件,41台ATM自動吐鈔8千多萬元轟動全台,當時駭客滲透一銀的內網,利用惡意程式遠端控制ATM。事件發生後,同年一銀迅速設立「數位安全處」,對資訊安全高度重視,今年9月2日再宣布導入專攻網路及雲端服務的思杰系統(Citrix)的虛擬上網方案,確保員工安全上網,斷開駭客入侵的機會。
以往銀行是採取在辦公室劃定特定上網區,員工要使用上網必須得到特定區域,但銀行業務量龐大,像是一銀在台員工有7千多位、共有187家分行,隨時有上網的需求,一銀數位安全處觀察到國外有虛擬上網做法,內部經過評比後挑選Citrix方案,並經2年的測試才正式導入,是台灣金融業第一個投入虛擬上網的業者。
一銀導入虛擬上網,斷開駭客攻擊
什麼是虛擬上網?即透過安裝Citrix Virtual Apps and Desktops(虛擬應用與桌面),當使用者連接外網時,Citrix會幫用戶代播瀏覽器、應用程式的畫面,並不會入侵到公司內部網路,建立類似「隔離板」的概念。
關鍵是用戶在使用體驗上並不會影響網速。Citrix除了提供虛擬上網方案外,並整合檔案清洗解決方案,把攔截到的惡意程式做檢查。
「就算員工的隨身碟、Email被植入惡意程式,因為對外網路都被切斷,駭客無法遠端遙控電腦,」第一銀行數位安全處處長張晉榮強調。一銀耗時2年、花費數千萬元預算,是國內第一家導入虛擬上網的金融業者,也承受不小的風險,因此採分階段導入虛擬上網,初期先找三家分行測試,確保運營正常後,才做大規模推廣,讓員工電腦的資安防護無後顧之憂。
當初怎麼獲得高層的支持?張晉榮提到,在溝通上,他會從駭客的角度來看事件,分析攻擊的步驟及風險,因此當初就決定從保護員工電腦下手;再加上近來主管機關金管會要求金融業必須強化資安防護能力,以及在ATM事件過後,銀行業都對資安有高度的重視。
「資安不是談民主!」 一銀靠獨立團隊把關
一銀導入虛擬上網的作法陸續引起其他銀行的關注,張晉榮則有感而發表示,資安不是談民主,必須是「從上而下」訂出規則,一銀的數位安全處就是獨立運作的資安單位,和資訊部門完全分開,從事的工作包括模擬駭客怎麼攻擊,就連防火牆都是自己管的。
目前一銀的數位安全處共30多人,匯聚各方資安好手,負責主導的張晉榮經歷也相當驚人,曾是IBM資安顧問、待過台積電企業資訊安全,現在碰到最大問題是人才經常被挖角,到目前為止團隊人數都沒補滿,除了導入虛擬上網外,接下來還有多項計畫在進行中,以提升一銀的資安防禦力。
責任編輯:錢玉紘
