原标题:【因应一银ATM盗领事件】银行公会祭出8大ATM安全防护措施
银行公会技术组组长李嘉铭表示,从一银事件后,金管会相当重视ATM的安全性,银行公会也提出8大防护措施以提升ATM的安全。
图片来源:台湾BSI
台湾在今年7月发生第一银行ATM盗领案件,盗领金额高达8,000多万元。这起ATM盗领事件大幅冲击台湾金融业者对于ATM安全的认知,原本以为属于封闭网路的ATM是相对开放网路安全的思维,已经失效。
对此,台湾银行公会金融业务电子化委员会技术分组组长李嘉铭表示,银行公会先前也针对一银事件造成的资安漏洞进行讨论,金管会也在9月提出「金融机构办理电脑系统资讯安全评估办法」。对此,银行公会也有8项应对措施,预计在年底提出第二波ATM防护策略,希望增加更严谨的评估办法和防护机制,加强ATM系统的安全性。
金管会要求银行业者应该更重视ATM的安全性,对此,银行公会也提出8项资安防护措施,其中有一项则是银行业者应该针对ATM进行攻防演练,预计在年底前完成。(图片来源/iThome)
从一银事件找出银行内部资安脆弱环节
李嘉铭表示,从一银的盗领事件可以发现,网路犯罪集团入侵一银内网有几个脆弱环节,如果可以强化相关的弱点,都有助于增加ATM的安全性。而相关的弱点环节也多是内部系统控制的因素,包括:电话录音主机可连线至网路、电话录音主机有资安弱点、第一银行所使用Wincor厂牌ATM和NCR派送伺服器有资安弱点、电话录音主机可以Telnet连线至ATM、ATM能FTP服务连线至NCR派送伺服器,以及ATM可以安装任意程式。
如何改善这些脆弱环节呢?李嘉铭表示,银行工会针对这些弱点提出8项ATM自动柜员机安全防护指标,分别是:架构区隔、开发测试、交付派版、存取限制、监控警示、汰换计画以及攻防演练,以及交由稽核单位追蹤複查等8个方式。
首先,李嘉铭说:「银行必须要做到架构区隔,确保海外的电脑是不能直接连到ATM系统。」目前,主管机关要求银行必须落实网路实体隔离政策,区隔办公室OA网路环境和ATM系统网路环境必须完全切割,并且做到实体隔离。
其次,银行业有许多的委外开发,为了要确保厂商所交付的程式码是安全的,包含图片或是多媒体档案等,都没有隐藏的恶意程式,对于厂商交付相关的程式码进行开发测试是必要的。
再者,当程式码确认是安全后,为了避免程式上版时出状况,李嘉铭表示,必须同时要有两个人以上,确保这次上版的程式的确是原本应该要上版的内容,没有遭到私下置换错上错版本,也应该针对派送的内容逐一交叉比对的检视。
第四,银行业者必须针对所有的系统,进行更严格的存取限制,以防範其他人可以私下存取ATM内部资料。
第五,每台ATM要必须要有即时监视的监控警示系统,也就是说,当有人走进ATM自动柜员範围内时,环控系统的摄影机与ATM前的摄影机就可以即时摄影,将进入ATM範围的人的影像,即时传送到银行的中控室。一旦发生窃盗或是出现ATM异常状况时,以便银行在第一时间提供嫌疑人照片和影像给检警调单位做调查。
第六,根据银行公会的ATM安全防护建议,银行应该要定期的旧款ATM设备汰换计画,以确保ATM的安全性。
第七,ATM系统要确实执行攻防演练。很多资安专家都和银行业者有相关的讨论,如何从内部的系统连线到ATM系统,在这个过程中,找出内部系统和ATM系统之间的漏洞,并建立相关的防御机制。预计今年底,所有银行都要完成相关的演练。
最后,公会也建议,银行要将这些指标交付给稽核单位进行追蹤複查,希望可以建立一套持续性的监控防护措施。
?相关报导 ?一银ATM遭骇事件大剖析
?
相关:
检调侦办兆丰银案发现,兆丰前董事长蔡友才在收到美国纽约州金融服务署对兆丰银纽约分行的金检缺失报告后,隐匿重大讯息,却与前主秘王起梆、纽约分行经理黄士明都趁机出脱手中持股,三人都被依内幕交易罪起诉。起诉
【江苏南通:奶奶重男轻女杀死出生仅4天孙女,被判10年】江苏南通老太张爱芬非常重男轻女,因儿媳第一胎生下孙女,遂鼓动其生二胎,一心盼着生孙子。没成想二胎也是孙女。恼怒之下,这名奶奶竟将出生仅4天的孙女杀死
财政部表示,针对股利所得税制,现已委外研究,预计明年4、5月提出修正草案,会将金管会建议纳入评估,并优先研议当冲证交税优惠措施。但因涉及修法,目前正搜集各国资料。金管会主委李瑞仓今天上午率主任秘书苏郁卿
Line內部资安架构大公开,关键事件路由LEGY全公司只让3人懂
2016台湾骇客年会找来任职Line资安部门的Nikolay Elenkov揭露Line内部的资安架构。他表示,目前平台所着重的资安议题总共有四大项:Line架构安全性、通讯传输、讯息及网路通话安全,以及装置安全,「而Line跟其他企业
台北市旅行商业同业公会今天(2日)召开记者会,统计复兴航空无预警停航后,退票总金额大约是新台币4亿8千万元;至于旅行社因此衍生的转机及住宿等费用,大约7千多万元。台北市旅行公会也呼吁交通部,应针对这起事件,