強化金融資安法規 利用監理科技偵測犯罪

全球金融資安趨勢

強化金融資安法規 利用監理科技偵測犯罪

撰文：黃庭瑄

監理科技的趨勢正由歐美開始影響亞洲，但金融資安問題該先從什麼方向著手解決，仍須仰賴各機構由企業內部診斷主要弱點和需求。

今年9月的Equifax信貸機構資料外洩事件，根據CNN報導有1.4億顧客個人資料被駭客竊取，其中包括姓名、社會安全碼、出生日期和駕照號碼。另外，20.9萬個美國信用卡客戶資訊和18.2萬信用報告相關的文件也遭洩露，類似事件並非首次發生，但事件規模令人震驚。

Equifax為美國3大信貸評級機構之一，從銀行和其他通路取得消費者的信用和消費紀錄，相當於台灣的聯合徵信中心。依事件發生到媒體曝光間的時間來看，可能曾進行某種程度的曝光施壓，其真正的規模和影響值得長期觀察。事實上，任何蒐集顧客資料的公司都有這樣的風險，而以財務資料的誘因最大。

因此在各銀行致力發展金融科技時，背後也藏有許多隱憂。使得銀行將加密的資料交給第三方分析再利用時，風險也因此提高。因資料外洩後衍伸的各種金融犯罪，首當其衝影響的就是銀行和客戶，目前全球正在積極努力的環節，即是強化金融資安的法規和利用監理科技偵測犯罪，從總體環境和個體企業兩方面提高安全意識。

金融業遭駭客攻擊最頻繁

最近的IBM X-Force Threat Intelligence Index觀察發現，金融服務業已成為最常受到駭客攻擊的產業，從2015年位居第三攀升至2016年的第一位；其次是資訊和通訊業。 2016年全球超過100個國家中，除了40億筆紀錄外洩外，還有上萬個系統漏洞被揭露，創下觀察20年來紀錄最高值，其中有超過2億的財務資料外洩，較2015年增加937％。

而資料外洩的來源，大多來自於內部入侵（以IP位址區分），占58％，其中有5％為惡意攻擊，53％為缺乏安全意識，透過惡意郵件、網址，或者系統漏洞對客戶端進行攻擊，利用當前用戶身分進行滲透，取得系統控制權限，鎖定的資料為個人可辨識資料（Personal Identifiable Information, PII），這些資料可用來再販售或威脅公司，得到可觀的利益。

IBM還指出2016年甚至更早以前揭露的資安事件，其數據常常在暗網上被相同的人銷售。其中一些洩露事件，例如LinkedIn、Dropbox和Last.fm，當時公布流出的數據可能都被低估，例如2012年，LinkedIn公布數據外洩影響650萬用戶，但到了2016年，實際上在暗網銷售的數據是1億1,700萬的電子郵件和密碼。

歐盟率先通過資安法規

在總體環境層面上，為因應日漸增加的犯罪率，歐盟率先通過法規，加強金融科技安全規格，今年9月的American banker指出，歐盟通過的支付服務指令的修正法案（Revised Payment Services Directive, PSD2）將於明年1月生效，歐洲銀行管理局建議在新技術法規標準中，將螢幕抓取（screen scraping）的技術廢除，加強金融科技安全規格，清楚劃分責任歸屬；螢幕抓取允許數據處理者假扮成網路銀行的顧客，以獲得帳戶登入資訊，增加金融詐騙和犯罪率。

然而仍有許多金融科技公司，認為這項技術若要被取代，銀行須開放更多應用程式介面（Application Programming Interface, API）提供使用，在美國相關法規仍充滿爭議。另外，各大銀行也正在努力建置企業內的規則，PWC在2016年的金融產業報告指出，截至2013年美國6大銀行為了遏制金融犯罪，花費在建立新規則的成本共700億美元，金融科技相關的犯罪，未來也可能擴大至詐騙、洗錢、賄絡、避稅等方面，隨著科技進步，規則建立成本將更昂貴且過程更困難，因此規則建立須亦步亦趨。

監理科技市場蓬勃發展

除了主管機關制定金融創新的監管標準之外，全球金融機構及相關的科技公司也開始利用新技術發展提升經營和風險管理等監理能力。目前全球的應用以FN提出的歐洲科技監理新創公司為例，產業發展方向仍相當分散，大致歸納為3大類。

第一類是智慧化管理資產，為主要客戶提供安全保障，如Comply Advantage針對客戶資產提供金融犯罪風險報告，打造交易監控平台及服務，即時偵測可疑的入侵。Suade打造資金需求和流動性資產情境分析的測試平台，分析客戶的行為。FundApps以資產管理和簡化法規程序為主打功能，目前已監控全球3,000億美元資產，主要顧客為全球資產管理者，年金、避險基金和投資銀行管理者。Onfido利用機器學習，建立客戶自動化身分識別程序，使金融機構可以進行顧客檢測和洗錢偵測。

第二類是金融機構內部控制，管理員工和相關資訊，其應用包括：Sybenetix發展人工智慧行為分析平台，分析投資決策，識別潛在的內線交易，以及為資產管理者和金融機構員工偵測可疑行為。Qumram幫助金融機構追蹤員工通話紀錄，從幾個主要社群及通話軟體下手，如WhatsApp、WeChat、LinkedIn、Skype。ClauseMatch建立文件整合平台，所有檔案、文件、電子郵件都在同一平台上編輯，監控對照修改紀錄。

第三類則是與國際和當地法規接軌，開發因應法規要求的軟體，例如Privitar針對歐盟將於2018年5月提出的資料保護法規（GDPR）做好準備，開發可匿名資料的軟體，強化隱私權。

金融科技、監管科技等各項創新，顛覆時代也改變了金融市場運作方式，帶來商機也蘊藏許多危機。為降低金融犯罪，各國積極研擬法規，然而各項法規的設立，都可能是扼殺創新的源頭，因此政府在處理法規和鼓勵市場創新之間的拿捏，和與其他國際市場法規的接軌，都需要謹慎規劃。

而企業除了增設內部規則，其對於資安的需求也開啟了監理科技（RegTech）市場，是順應金融科技後發展的新興市場，目前獨占性低，由小規模新創企業各自發展，面向多元，還未有主要市場方向和大市占企業。金融機構利用科技能降低風險成本的特性與其合作，然未來仍不可避免的會遇到，監理科技只靠資料判斷產生偏誤和處理敏感性資料增加難度等問題。