叡揚資訊偕Arxan 深談英國銀行的資安策略

叡揚資訊與 Arxan 今日（8/3）於台北辦理Fintech 高峰會，本次會議邀請 BSI 總經理蒲樹盛、Arxan Technologies 工程副總裁前英國巴克萊銀行首席資安工程師 Andrew Whaley與中國科大資訊學院院長陳振楠教授深談面對破壞性創新衝擊，傳統銀行除加速轉型、提供消費者更便利服務的同時，銀行如何利用「安全性」維持長期競爭優勢及重點科技策略。

BSI 總經理蒲樹盛提到在全球經濟保護主義崛起、資源分配不均及勞動人力資源短缺的近日，台灣該如何面對全球因科技強勢與金融匯流應運而生的 Fintech 技術。蒲總經理表示，目前全球資訊安全、大數據分析及雲端運算人才短缺，台灣擁有人才卻無法留住人才，絕對是金融產業升級的絆腳石。

Fintech 是大數據及大通路的新商業模式，但目前台灣在電子支付的運用佔個人消費行為的比例仍低，同時落後於全球其他國家，FinTech已席捲全球，台灣不能跟不上全球趨勢。

Arxan 工程副總裁前英國巴克萊銀行首席資安工程師 Andrew Whaley 首次應邀來台，特別分享他在英國金融技術的現況與 Fintech 落實的經驗，英國為僅次於美國第二大發展 Fintech 的國家，也積極培養 Fintech 人才。Andrew 指出：「英國巴克萊銀行目前成立近 300 年，是全球第 8 大、英國第 2 大銀行，身為歷史悠久的銀行，巴克萊銀行也致力於發展 Fintech 應用，根據統計，目前巴克萊銀行透過行動裝置登入銀行的客戶約 1 次/天，但透過網路銀行的登入卻是 1.7 次/月；此外，透過行動裝置交易次數是450 萬次/天；而網路銀行每月詐欺案件為 200次/月，遠高於行動裝置的 5 次/月。」

Andrew Whaley 根據自身在英國銀行業的經驗分享， 行動銀行對年輕人更有吸引力，因此巴克萊銀行在行動銀行 Apps 的資安防護，先利用硬體裝置進行，如：指紋、眼球虹膜等辨識， 並搭配網路、軟體的資安防護及防護策略。首先，Andrew 強調個人使用行為上，不要在雲端自動備份個人機敏資料、隨時更新最新個人行動裝置、及隨時鎖定行動裝置與 Apps。在金融業的防護規範上，他建議從網路層（Networking）、App 生命週期（Lifecycle）、及裝置 App 的完整性（Integrity）著手。

網路層（Networking）防護

標準的防護做法是在 SSL 協議之下再進行額外加密，因為很多高階的資安攻擊是可以破解SSL 協定，而且金融憑證也需要再進行加密和認證，而且憑證資訊絕對不可以儲存在個人行動裝置上，以防駭客不斷猜測隨機密碼而攻破防護。

App 生命週期（Lifecycle）

針對 App 的管理，銀行必須要求所有下載App 使用者必須事先進行註冊，而當使用者進行交易時需透過行動裝置核發隨機產生的交易密碼，如此作法是要避免憑證遺失，被有心人士盜用而產生損失。

裝置 App 的完整性（Integrity）

巴克萊銀行的 App 不支援 iOS 越獄（iOSJailbreaking）的行動裝置，以防行動裝置在獲得了最高權限許可的破解過程中已植入高階的駭客程式；其次，App 在釋出前要一定要做到混淆程式碼（Obfuscate）、反 de-bug（Antide-bug）、竄改偵測（Tamper Detect）、以及程式執行時間檢查（Runtime Inspection）。

除了以上的行動裝置 App 防護規範建議之外， Arxan 也提供更嚴密的防護措施：偵測（Detect）程式是否遭受攻擊、防護（Defend）應用程式遭受攻擊、阻礙（Deter）攻擊。

中國科大資訊學院院長陳振楠教授表示，前陣子有銀行業遭受到攻擊，目前銀行業對形式的資安防護也更為謹慎。叡揚資訊資安業務處長范家禎則說，叡揚資訊深耕國內資安領域已10 年，為國內唯一代理 Arxan 的軟體業者，當Mobile 技術興起而 Fintech 成為全球金融業顯學，行動裝置 App 的資安防護不能掉以輕心，本次邀請 Arxan 資安專家來台分享英國金融業的 Fintech 行動裝置 App 防護，很值得為台灣金融業參考借鏡。