◎ 詹德恩
今年二月,紐約時報報導俄羅斯、中國及歐洲的駭客已利用軟體攻擊卅個國家、一百家銀行,獲取不法利益超過三億美元時,我們金融監理高層一句「這些銀行內控未能落實」就輕鬆帶過。面對昨天新聞報導第一銀行遭俄羅斯駭客入侵盜取鉅款,不知金融監理高層心情如何?
第一銀行旗下ATM遭駭並被盜領超過7000萬元。(記者羅沛德攝)
真的是第一金控內稽內控未落實嗎?筆者大膽假設,國內十五家金控若同時遭同一批歹徒攻擊,可能絕大多數金控會中槍倒地。因為:一、台灣的洗錢防制申報系統太脆弱,只要進到調查局的網頁,觀察數量就可以看出台灣金融機構落實申報可疑交易的意願不高。二、台灣地下通匯管道暢通,因為刑度不高。三、金融業者對於資訊系統的使用焦點在於創造利潤,未對防弊付出同樣的重視。最後一個原因歹徒可以輕鬆得手,前面兩個原因歹徒得以輕易將犯罪所得匯出。
第一金控難脫違反金控法第五十一條,內控內稽未能落實之責,恐將面對同法第六十條的處罰。但是,真能因一家金控遭駭受罰而使台灣其他十四家金控永保安康嗎?當然不是。因為傳統金融業是高度講求利潤的行業,稽核、法令遵循、資安都是「輔助」單位,無法像營業單位般為公司獲利,不容易得到高階主管關愛眼神,還得時時想辦法證明自己存在的價值。
然而,Fintech時代來臨,IT成為「業務」單位,透過不同電子商務的開發,替公司創造新的收益,前提是,這個商品必須贏得客戶青睞並使用。此種發展配合駭客興起,正符合犯罪學「日常活動被害理論」:存在有能力及犯罪傾向者、有合適的標的,缺乏遏止犯罪的機制。
台灣金融機構除非不與國際接軌,否則實難不繼續開發新的Fintech產品。如何預防,實屬知易行難。以防範駭客而言,當一群軟體工程師寫出新商品程式時,內控部門必須有另外一批人不斷試著入侵、破壞原有系統;易言之,金融業必須願意增撥資安相關經費,而不再是將內控單位視為輔助單位。另外,金融監理機關亦應儘速提升資訊查核的人力與專業學能,將金檢視同實戰,若發現資安漏洞,即時予以糾正甚至處罰,方能免除台灣民眾在使用金融電子商務時的資安恐懼。(作者曾任金管會檢查局專門委員,現為銘傳大學社會與安全管理學系副教授兼系主任)
編輯精選
自由評論網粉絲團