金融1.0蛻變至金融3.0
自古以來,為取得自己所需要的事物,人們都透過「以物易物」的概念作為交易的橋梁。隨著歷史的演變,交換的媒介從實際物品轉換成稀有的貝類、金屬,乃至於現今社會所流通的貨幣,這一時期就稱為金融1.0。
這種方式比起金屬貨幣更可達到便利攜帶及運輸,以及可大量製造又不需消耗大量成本的目的,因此促進了國內交易的蓬勃發展。金融1.0最大的特性是貨幣流通處具有地域限制,且因科技發展尚未相當成熟,資源訊息傳遞技術落後,導致資源流通相當緩慢,同時紙幣有易於仿造的疑慮,會有隱藏危機的威脅。
隨著時代的變遷,工業發展快速地進步,人們漸漸重視交易的風險及交易訊息的保密程度。另配合工業的發展,交易媒介也日趨進步,如銀行卡、電子錢包、電子支票、匯款等具有多項功能的產物也如雨後春筍般地發展出來,這就是所謂的金融2.0時期。
相較於從前出門購物需帶大筆金額,除攜帶不易外也增加了風險。金融2.0透過信用卡或電子錢包的交易,不僅滿足便利性,安全風險度也降低不少。但在發展快速的金融業背後,多少潛藏著如法律、技術等漏洞,如何減少漏洞讓消費者享受消費的便利性,就是下個階段所需要解決的議題。
現今物聯網的崛起,網路已和一般民眾密不可分,智慧行動裝置儼然成為人民生活的一部分。因此,數位金融逐漸成為現在的商業趨勢。傳統交易支付方式的改變,讓人民除了可以透過銀行進行金融行為外,也可以藉由其他企業提供的基本金融服務進行支付行為。
近年來台灣金管會積極地推動金融3.0政策,預期透過網路、行動裝置等管道,就能處理多項金融服務,如線上申辦金融業務、利用智慧行動載具線上付費等。金融3.0提升了支付效率,並帶給民眾更便利的管道進行金融行為。然而,在智慧金融服務帶來便利的同時,卻產生許多安全的疑慮。
智慧行動載具
科技不斷地往前進,產業也紛紛走向科技化,金融產業正好首當其衝。因此傳統的金融業在這樣的環境下為了生存不得不做改變,朝向創新化、數位化,於是掀起了一波改革的浪潮。金融科技(FinTech)就是在這樣的時空中產生的,隨著近年層出不窮的資安攻擊事件造成企業的巨額損失。我國政府對資訊安全議題更是日趨重視,推動了5大創新產業(包括:綠能科技、國防產業、智慧機械、生技醫藥、亞洲矽谷等)的國防(資安)項目。
目前金融科技正在轉變金融業傳統的營運型態,行動商務、電子支付與電子票證已經非常普遍。相較於傳統交易方式,行動商務及電子支付透過用戶裝置及金融雲,能提供更便捷、更快速的交易服務。然而提供便捷的服務也須兼顧安全,如何確保客戶個資及財產的安全,就成為金融科技首要考量的目標。
依據DEVCORE滲透測試研究,企業前5大弱點分別是跨站腳本攻擊、資料庫注入攻擊、商業邏輯漏洞、跨站冒名請求和資訊洩漏。大部分的企業網站可能都有這些資安漏洞,其成因大多是網站開發時,開發人員沒有良好的資安意識,未能把網站的基本安全組態環境建置好,當發生問題時也無法即時修復處理。另外隨著金融科技趨於成熟,金融相關入口服務大都由網站提供,若金融網站出現安全漏洞,對企業會產生巨額的損失。
金融交易資訊之所以成為駭客或犯罪集團鎖定的目標,原因在於利益十分誘人。在2016年,環球銀行金融電信協會(Society for Worldwide Interbank Financial Telecommunication, SWIFT)就發生多起針對SWIFT客戶的資安攻擊事件。此外,近期孟加拉央行遭盜損失逾台幣20億以上,全因網路犯罪手法的不斷進化。
而在國內,於2016年更發生第一起第一銀行ATM遭盜領千萬元的資安事件,也曾發生數十多家的券商遭受分散式阻斷服務(DDoS)攻擊,使得交易流量大受影響,甚至收到恐嚇信件。可見金融資安問題近年來已日漸嚴重,災害也有擴大的趨勢,令人不得不更加重視。面對這樣的入侵威脅,最根本的解決方法還是在於原始資料的追蹤與監控,並透過各項新型技術(如深度學習)找到潛在的攻擊者。
具深度學習的金融3.0安全交易平台整合了4大面向,包含結合生物特徵的具高準確度的身分識別技術、APP檢測、網站黑箱和白箱測試,以及金融交易資料異常偵測與分析技術。在電子支付的環境中,如何確認使用者的身分是重要的議題。若無法準確地辨識身分,遭遺失的電子支付裝置就有被盜用或使用者資料被竊取的風險,因此把生物特徵及行動支付載具結合在一起,開發一套有高準確度的身分識別技術,並針對行動支付載具遺失、盜刷等問題進行機制設計,可確保使用者與行動支付載具的保障。
隨著智慧型手機的發展普及,人們關注的APP不僅在於功能,還要考慮到開發效率、使用流暢度等。就現階段而言,APP程式中容易藏有惡意程式碼,會讓使用者在不知情的狀況下下載安裝,不但引狼入室,也產生資訊安全上的危機。因此,透過不同的檢測方式,如透過電池消耗電量異常檢測、HTML5-based檢測等,或許可有效檢查APP程式或行動裝置中是否藏有惡意程式碼。
金融交易網站目前仍是駭客攻擊的重點目標,傳統的檢測無法即時偵測到日新月異的駭客攻擊手法。透過深度學習方式,把駭客的攻擊手法及思維模式透過機器不斷地反覆訓練,或可有效率地保護網站的安全性。
由於近年來金融資訊犯罪事件頻傳,金融交易資料的安全受到政府機關、銀行、企業業界等的高度重視。如何在交易資料中發現異常行為,進而能追蹤駭客蹤跡,已成為首要的工作。現階段在金融交易資料上大部分是透過人工方式查核,但人工查核機制對於金融交易異常分析而言,不僅速度不夠即時,可能會忽略許多即將發起攻擊的蛛絲馬跡。因此面對金融災害不斷擴大的趨勢,解決的方案在於透過更有效的自動化方案,對於原始數據資料進行追蹤與監控,透過新型技術如深度學習的方式找到潛在攻擊的紀錄。
金融界融入現代化的高科技後已進步到金融科技的階段,金融服務較從前已可以非常迅速方便地接觸到終端使用者。因此可以預見FinTech會開啟與終端使用者更加貼近的個人化業務,開創全新的商業模式。
但是FinTech除了帶來了使用上的方便外,隨之而來的資訊安全風險也會來到門前。無論是在交易過程中被惡意冒名頂替,或是行動應用程式被注入惡意程式碼,抑或是提供服務的入口遭到惡意攻擊,種種全新型態的攻擊風險都是金融業不得不正視的挑戰。很顯然的,金融界除了要與科技領域結合外,也要透過資訊安全領域取得最尖端的防護措施與安全架構。
上述各種挑戰,不只傳統金融業界會遭遇到,目前躍躍欲試要加入業界的電子票證或第三方支付公司同樣也須面對。無論是在交易中身分的驗證、行動應用程式的安全性、服務入口的安全性,與異常事件的處理能力,都在考驗著台灣能否躋升FinTech大國的行列。設法提供國內FinTech安全的虛擬交易平台系統,讓台灣與國際接軌已是當務之急。