因应FinTech 可循六大重点实现网安防护

勤业众信联合会计师事务所副总经理温绍群。

近几年金融科技(FinTech)非常热门，逐渐成为21世纪的金融显学；只因为其无论在借贷、支付、数码货币、产品与服务、风险与安全评估、财富管理等诸多领域，都正在改变既有金融服务。

勤业众信联合会计师事务所副总经理温绍群指出，在2011~2015年期间，亚太地区的FinTech投资金额急遽攀升，从1.49亿美元爆涨至34.84亿美元，展望未来可望持续增长；此乃由于，一方面肇因于创新技术的先进，二方面企业或个人有替代性金融解决方案的需求，两者皆有助于FinTech之成长。

事实上，FinTech不仅在亚太地区火红，放眼全球亦是热力四射。例如非洲、印度等地文盲不少，多数人不会填表单以致无法开户，于是藉助科技方法，由手机门号绑定银行帐户，透过简讯进行转帐；至于欧美则时兴P2P借贷平台，诉诸借贷双方去中间化(意指银行)，由借方上网提出期望的贷款金额与还款条件，而贷方提出期望收受的利率，使两方达到最佳媒合。

温绍群接着表示，随着认证及生物识别技术、云端运算、机器学习、电子支付及移动支付、区块链及分布式分类帐、大数据等六项科技的加持，孕育了智能金融服务，从而带动效率提升、制造新商机、更好的风险管控及改善人们的生活，促使各国的金融服务更具竞争力。

以亚洲而论，由于除大陆外多走「正面表列」高度管制模式，故多数金融产业仍将重心放在内部企业导向的数码化，藉以优化传统金融方案，例如透过发展多通道，以改善使用者界面与使用者体验。

至于传统金融业者如何提升数码能力？温绍群举欧美国家的例子，认为最快的途径，无非就是取材自外部资源，可行方式包括了策略联盟(如新西兰Westpac银行与纽约新创银行Moven合作)、购并(如西班牙BBVA银行购并购美国Simple在线银行)，乃至创投基金及资产管理部门投资，例如汇丰银行投资2亿美元于FinTech企业。

黑客经济蓬勃  亟思寻求防范之道

然而亚太区发展FinTech，仍存在一些挑战与障碍，包含可支持数码金融业务成长的资金，可允许提供国内与跨境数码解决方案的法规环境，可跨越文化与语言差异、适用于亚洲各国的数码解决方案，可推动金融服务数码化进程的人才库，以及可支撑执行数码化进程的虚、实之安全基础建设。特别是最后一项，连带造就了蓬勃的黑客经济商业模式，譬如从2015年10月迄今，接连有菲律宾一家不具名银行、越南先锋银行及孟加拉央行遭受网络攻击，导致原本被认为安全无虞的支付电文系统遭黑客利用，因而酿成可观的金钱损失。

「现今网络诈骗年产值超过千亿，已成为第三大黑色产业，」温绍群说，依据2016年世界经济论坛的全球风险报告内容所述，每年因网络犯罪造成的经济损失逾4,450亿美元，另根据调查，目前透过地下网络黑色产业链方式，黑客平均月入84,100美元，可说相当诱人。

论及防范之道，温绍群建议应以信息治理与安控手法为基础，从而因应新兴科技变革与产业创新，调适整体网安防护措施。归纳数码化转型之信息安全防护重点，则分为六大项目，依序是敏捷开发与适量安控、移动应用App安全检测、大数据分析个资去识别化、云端委外安全管理、网安事件应变与数码监识，以及网络威胁情资预警。

其中「敏捷开发与适量安控」，意指业者欲求Time-to-Market，即应落实Secure Coding观念，考量最新的程序安全开发漏洞，毕其功于一役，提高程序码安全性。有关「移动应用App安全检测」，可参酌由NCC、工业局各自因应出厂前后所拟定的检核项目。在「大数据分析个资去识别化」部份，可依循ISO 29100/29101标准而做到个资去识别化，并保留数据分析的最大价值。

而在「云端委外安全管理」方面，可藉由强化ISO 27001(ISMS)并持续改善、透过自动化工具的辅助强化网安控管有效性，及透过CSA STAR/Euro Cloud ECSA云端标准深化控管的有效性等具体作为加以实现，或委由专业会计师进行信息服务委外的安全、隐私与服务管理查核。有关「网安事件应变与数码监识」，应建立完整的网安事件应变处理流程与机制，透过严谨的数码监识原则，对各类型风险事件进行证据保全处理与分析，依据各风险场景定期演练检讨。至于「网络威胁情资预警」，则透过产业工会与区域或全球情报网连结，建立网安情报预警分析与管理能力(Cyber Intelligence)。