因应FinTech 可循六大重点实现网安防护
近几年金融科技(FinTech)非常热门,逐渐成为21世纪的金融显学;只因为其无论在借贷、支付、数码货币、产品与服务、风险与安全评估、财富管理等诸多领域,都正在改变既有金融服务。
勤业众信联合会计师事务所副总经理温绍群指出,在2011~2015年期间,亚太地区的FinTech投资金额急遽攀升,从1.49亿美元爆涨至34.84亿美元,展望未来可望持续增长;此乃由于,一方面肇因于创新技术的先进,二方面企业或个人有替代性金融解决方案的需求,两者皆有助于FinTech之成长。
事实上,FinTech不仅在亚太地区火红,放眼全球亦是热力四射。例如非洲、印度等地文盲不少,多数人不会填表单以致无法开户,于是藉助科技方法,由手机门号绑定银行帐户,透过简讯进行转帐;至于欧美则时兴P2P借贷平台,诉诸借贷双方去中间化(意指银行),由借方上网提出期望的贷款金额与还款条件,而贷方提出期望收受的利率,使两方达到最佳媒合。
温绍群接着表示,随着认证及生物识别技术、云端运算、机器学习、电子支付及移动支付、区块链及分布式分类帐、大数据等六项科技的加持,孕育了智能金融服务,从而带动效率提升、制造新商机、更好的风险管控及改善人们的生活,促使各国的金融服务更具竞争力。
以亚洲而论,由于除大陆外多走「正面表列」高度管制模式,故多数金融产业仍将重心放在内部企业导向的数码化,藉以优化传统金融方案,例如透过发展多通道,以改善使用者界面与使用者体验。
至于传统金融业者如何提升数码能力?温绍群举欧美国家的例子,认为最快的途径,无非就是取材自外部资源,可行方式包括了策略联盟(如新西兰Westpac银行与纽约新创银行Moven合作)、购并(如西班牙BBVA银行购并购美国Simple在线银行),乃至创投基金及资产管理部门投资,例如汇丰银行投资2亿美元于FinTech企业。
黑客经济蓬勃 亟思寻求防范之道
然而亚太区发展FinTech,仍存在一些挑战与障碍,包含可支持数码金融业务成长的资金,可允许提供国内与跨境数码解决方案的法规环境,可跨越文化与语言差异、适用于亚洲各国的数码解决方案,可推动金融服务数码化进程的人才库,以及可支撑执行数码化进程的虚、实之安全基础建设。特别是最后一项,连带造就了蓬勃的黑客经济商业模式,譬如从2015年10月迄今,接连有菲律宾一家不具名银行、越南先锋银行及孟加拉央行遭受网络攻击,导致原本被认为安全无虞的支付电文系统遭黑客利用,因而酿成可观的金钱损失。
「现今网络诈骗年产值超过千亿,已成为第三大黑色产业,」温绍群说,依据2016年世界经济论坛的全球风险报告内容所述,每年因网络犯罪造成的经济损失逾4,450亿美元,另根据调查,目前透过地下网络黑色产业链方式,黑客平均月入84,100美元,可说相当诱人。
论及防范之道,温绍群建议应以信息治理与安控手法为基础,从而因应新兴科技变革与产业创新,调适整体网安防护措施。归纳数码化转型之信息安全防护重点,则分为六大项目,依序是敏捷开发与适量安控、移动应用App安全检测、大数据分析个资去识别化、云端委外安全管理、网安事件应变与数码监识,以及网络威胁情资预警。
其中「敏捷开发与适量安控」,意指业者欲求Time-to-Market,即应落实Secure Coding观念,考量最新的程序安全开发漏洞,毕其功于一役,提高程序码安全性。有关「移动应用App安全检测」,可参酌由NCC、工业局各自因应出厂前后所拟定的检核项目。在「大数据分析个资去识别化」部份,可依循ISO 29100/29101标准而做到个资去识别化,并保留数据分析的最大价值。
而在「云端委外安全管理」方面,可藉由强化ISO 27001(ISMS)并持续改善、透过自动化工具的辅助强化网安控管有效性,及透过CSA STAR/Euro Cloud ECSA云端标准深化控管的有效性等具体作为加以实现,或委由专业会计师进行信息服务委外的安全、隐私与服务管理查核。有关「网安事件应变与数码监识」,应建立完整的网安事件应变处理流程与机制,透过严谨的数码监识原则,对各类型风险事件进行证据保全处理与分析,依据各风险场景定期演练检讨。至于「网络威胁情资预警」,则透过产业工会与区域或全球情报网连结,建立网安情报预警分析与管理能力(Cyber Intelligence)。