您现在的位置是:主页 > 移动作文 >下个银行资安未爆弹!余宛如揭露公股银行系统30年未更新 >

下个银行资安未爆弹!余宛如揭露公股银行系统30年未更新

时间:2020-06-14  阅读:585  点赞次数:614  
下个银行资安未爆弹!余宛如揭露公股银行系统30年未更新

相信大家都对远东银行遭骇的事件还心有余悸,为了防止下个远银事件再度发生,立委余宛如今天揭露公股银行核心系统超过 30 年未更新的重大问题。

首先她向大家介绍公股银行核心系统始于 1982 年财政部推动银行电脑连线作业之计画,当时主要以 COBOL 撰写,并採用 IBM、Unisys 等非开放性主机架构;当然在 30 年前用这种封闭式架构很合理,但到了现在全互联网时代老早不堪使用,只能在原有系统上叠床架屋嫁接不同程式。这让公股银行整体系统更难进行即时性的重大更新,而且进一步叠加了营运成本。据了解,每年公股银行光要维护这些旧核心系统专属主机,就要花上数亿元的费用,而且另一方面懂 COBOL 与旧核心系统的人材越来越少,让公股银行资安成为浅而易见的未爆弹。

下个银行资安未爆弹!余宛如揭露公股银行系统30年未更新

不仅如此,余宛如还点出公股银行近年因获利下降,导致在选择金融系统厂商时由于预算有限,使得化作海外或本土公司的中国厂商容易低价得标,进一步形成更加重大的两岸资安危机。不要说银行,事实上台湾寿险业也陷入此类重大危机,她点名兆丰、明台、旺旺友联与新光人寿等台湾寿险业,已採用像易保、中科软这种显而易见来自中资的厂商建立核心系统,让重要程度可比户政资讯的保户个资容易落到中国厂商手上。

下个银行资安未爆弹!余宛如揭露公股银行系统30年未更新

也因此她极力呼吁立院赶紧通过本会期排在优先法案的「资讯安全法」,也指出金管会要儘速把资安环节列入银行重要评鉴项目之一。

行政院工程委员会企划处长陈尤佳则是回应,根据採购法公股银行目前可以在招标时就排除中国厂商投标与产品,若厂商有中资疑虑也可请经济部投审会判别。金管会银行局组长邱美珠则是直接回应余宛如诉求,直接将资安列为银行稽核重点。

当然在资安上注重中国因素确实是必要之举,但立法是不是唯一途径呢?INSIDE 认为立法之前,这件事就可以用比较有创意也直接的做法先行:为什幺不编列一定奖金预算,找白帽骇客定期为公股银行体检呢?去年第一银行诈领事件手法不新鲜,6 年前美国白帽骇客 Barnaby Jack 就公开示範过啊!如果公股银行有了几轮白帽骇客的洗礼加上去识别化后开源资料,事实上台湾公股银行有潜力可以成为其他金融体系的典範。

若是谈论立法与行政部分,INSIDE 则是认为首先要突破的是採购方面,目前泛政府机构採购设备逻辑是得在今年就先规划好明年或后年的部份,换句话说,明年或后年买到的硬体与软体都是今年的东西,资安上就会有一个不得不花心思去更新的 gap 存在;第二最肉搏也最直接,这些用 COBOL 的公股银行系统到底要不要全面重写?什幺时候做?怎幺做?会对民众与金融秩序造成什幺冲击?这些都是立法者或行政端需要审慎评估的重大问题。

相关文章