Fintech的強勢匯流 叡揚資訊偕Arxan深談英國巴克萊銀行的資安策略

2016年八月04日(四) PM 01:22

iThome http://www.ithome.com.tw/pr/107506

叡揚資訊資安業務處長范家禎(左起)、BSI總經理蒲樹盛、中國科大資訊學院院長陳振楠教授、Arxan Technologies 工程副總裁前英國巴克萊銀行首席資安工程師Andrew Whaley、Arxan Technologies 亞太區副總裁George、叡揚資訊資訊服務事業群總經理陳志雄出席「Fintech高峰會」。圖/業者提供

叡揚資訊與Arxan今日(8/3)於台北辦理Fintech高峰會,本次會議邀請BSI 總經理蒲樹盛、Arxan Technologies 工程副總裁前英國巴克萊銀行首席資安工程師Andrew Whaley與中國科大資訊學院院長陳振楠教授深談面對破壞性創新衝擊,傳統銀行除了加速轉型、提供消費者更便利服務的同時,銀行如何利用「安全性」維持長期競爭優勢同為重點科技策略。

BSI 總經理蒲樹盛提到在全球經濟保護主義崛起、資源分配不均及勞動人力資源短缺的近日,台灣該如何面對全球因科技強勢與金融匯流應運而生的Fintech 技術。蒲總經理表示,目前全球資訊安全、大數據分析及雲端運算人才短缺,但台灣擁有人才卻無法留住人才,絕對是金融產業升級的絆腳石。Fintech 是大數據及大通路的新商業模式,但目前台灣在電子支付的運用佔個人消費行為的比例仍低,同時也落後於全球其他國家,FinTech已席捲全球,台灣不能跟上全球趨勢。

Arxan工程副總裁前英國巴克萊銀行首席資安工程師Andrew Whaley首次應邀來台,特別分享他在英國金融技術的現況與Fintech落實的經驗,英國為僅次於美國第二大發展 Fintech 的國家,也積極培養Fintech人才。Andrew指出:「英國巴克萊銀行目前已成立近300年,是全球第8大、英國第2大銀行,然而身為歷史悠久的銀行,巴克萊銀行也致力於發展Fintech 應用,根據統計,目前巴克萊銀行透過行動裝置登入銀行的客戶約1次/天,但透過網路銀行的登入卻是1.7次/月;此外,透過行動裝置交易的次數是450萬次/天;而網路銀行每月的詐欺案件為200次/月,遠高於行動裝置的5次/月。」

Andrew Whaley根據自身在英國銀行業的經驗分享,行動銀行對年輕人更有吸引力,因此巴克萊銀行在行動銀行Apps的資安防護,首先利用硬體裝置進行,如:指紋、眼球虹膜等辨識,此外還要搭配網路、軟體的資安防護及防護策略。首先,Andrew強調個人使用行為上,不要在雲端自動備份個人機敏資料、隨時更新最新個人行動裝置、以及隨時鎖定行動裝置及Apps。而在金融業的防護規範上,他建議從網路層(Networking)、App生命週期(Lifecycle)、及裝置App的完整性(Integrity)著手。

  • 網路層(Networking)防護:標準的防護做法是在SSL協議之下再進行額外加密,因為很多高階的資安攻擊是可以破解SSL協定,而且金融憑證也需要再進行加密和認證,而且憑證資訊絕對不可以儲存在個人行動裝置上,以防駭客不斷猜測隨機密碼而攻破防護。
  • App生命週期(Lifecycle):針對App的管理,銀行必須要求所有下載App使用者必須事先進行註冊,而當使用者進行交易時需透過行動裝置核發隨機產生的交易密碼,如此作法是要避免憑證遺失,被有心人士盜用而產生損失。
  • 裝置App的完整性(Integrity):巴克萊銀行的App不支援iOS越獄(iOS Jailbreaking)的行動裝置,以防行動裝置在獲得了最高權限許可的破解過程中已植入高階的駭客程式;其次,App在釋出前要一定要做到混淆程式碼(Obfuscate)、反de-bug(Anti de-bug)、竄改偵測(Tamper Detect)、以及程式執行時間檢查(Runtime Inspection)。

除了以上的行動裝置App防護規範建議之外,Arxan也提供更嚴密的防護措施:偵測(Detect)程式是否遭受攻擊、防護(Defend)應用程式遭受攻擊、阻礙(Deter)攻擊。

中國科大資訊學院院長陳振楠教授也表示,前陣子有銀行業遭受到攻擊,目前銀行業對於各種形式的資安防護也更為謹慎。叡揚資訊資安業務處長范家禎表示,叡揚資訊深耕國內資安領域已10年,也是國內唯一代理Arxan的軟體業者,當Mobile技術興起而Fintech成為全球金融業顯學,行動裝置App的資安防護不能掉以輕心,本次邀請Arxan 資安專家來台分享英國金融業的Fintech 行動裝置App防護,很值得為台灣金融業參考借鏡。