第一銀行執行副總兼資安長劉培文 (攝影/洪政偉)

「ATM盜領案對一銀雖然是危機,卻也是轉機,」第一銀行執行副總兼資安長劉培文強調。

臺灣成立超過120年的本土老行庫第一銀行,在2016年遭遇臺灣金融史上第一起ATM盜領案後,當時身為資策會資安所副所長、兼任國家資通安全技術服務中心主任的劉培文,則被第一銀行公司高層找來救火,希望能夠在ATM盜領案的危機過後,趁機挽回頹勢,補強第一銀行的資安防護。

而劉培文在第一銀行的職務調整也是該行的資安發展史,最早擔任資訊管理中心副總經理,兼管資訊、資安兩大業務範圍;早在金管會規定兆元行庫要設立資安專責機構時,第一銀行便已經成立資安專責單位「數位安全處」,也同時將負責數位應用和數位創新的「數位銀行處」,以及負責系統開發的「資訊處」,整合為「資訊管理中心」,成為統整資訊、資安和數位金融等業務範圍的部門。

此外,第一銀行也在2021年6月公告,由執行副總劉培文兼任第一銀行資安長,該公司又在今年4月公告,劉培文再度擴張工作守備範圍,同時兼任第一金控資安長。

劉培文在加入一銀以前,有超過二十年的資訊產業工作經驗,跨界到金融產業,主要在需要補強產業的專業知識,但其他像是資訊或是資安的專業,不同產業的差異並不大。

轉進金融業工作後,劉培文同時兼管一銀的資訊和資安業務,到後來擴大到與業務掛勾的數位金融業務,他便透過參加各種會議,就有機會了解其他部門在做什麼,了解之後才會思考,他所管理的部門要參與哪些部分、可以做哪些改變,透過內化各種資訊,轉換成部門工作需要的發展方向

劉培文進入一銀工作後,他觀察,大家對資安有高度共識,反而全公司更願意群策群力落實資安,對他而言,在ATM盜領案後,反而可以建立各部門對資安的信心和SOP。這個經歷,更成為後來一銀轉型的重要助力。

「金融業要存活,數位轉型是必然之路,但隨著營運模式改變、產品提供走向線上生態圈、行銷數位化的發展趨勢,為了支援業務變革,資訊系統勢必要改變,資安也要跟著改變。」劉培文表示。

像是一銀的信用卡業務系統到核心系統的開發,以往是業務部門主導,資訊部門配合,但現在,相關專案從啟動之初,掌管資安的數安處就是當然成員,「資安已經是一銀所有業務發展、系統開發時的必要核心。」他說。

ATM盜領案是一銀的危機,卻也是轉機

對第一銀行而言,2016年的ATM盜領案不僅震驚全臺灣,更是東歐金融駭客入侵臺灣的首例。

ATM盜領案的由來,主要是東歐的金融駭客透過第一銀行英國分行的語音系統作為攻擊跳板,在進到臺灣總公司的內網後,變透過橫向移動的方式,取得關鍵使用者帳號密碼後,再植入金融木馬程式。

金融駭客則透過遠端遙控方式,並由車手在第一銀行分行ATM陸續盜領八千多萬元。所幸,有民眾察覺這起盜領行為而報警,第一銀行也先後向刑事局以及調查局報案。

透過各種鑑識分析的方式,追查到植入第一銀行內部系統的金融木馬程式,該駭客為了滅證,植入的惡意程式甚至會自動清除軌跡,也大幅提升警調單位調查和鑑識的難度。

後來,警方逮捕了盜領車手,也順利追回大部分的款項。但第一銀行內部系統的漏洞,導致銀行商譽的損失,才是整起事件的重中之重。

直視危機的第一銀行,便透過獵人頭公司積極挖角劉培文。他表示,獵人頭公司從2016年7月開始跟他接觸,歷經幾次面試後,他的工作內容也從原本只負責資安,到後來同時管理資訊和資安;其他的,除了要求他必須在10月前,通過金融業對從業人員內稽內控的考試外,就沒有其他要求。

劉培文在11月30日正式上任後,過往豐富的工作經驗,讓他在尚無資安長職稱時,便直接接任資訊管理中心副總經理,同時管理資訊和資安兩大領域。

爾後,劉培文更因資訊、資安雙專業,在高度依賴資訊系統提供服務的金融業中,逐步拓展業務掌管範圍,包括數位金融以及金融科技的推動,也成了他負責的核心業務範圍。

事實上,早在金管會要求兆元資產銀行成立資安專責部門之前,該公司就已經先成立「數位安全處」,也把原本掛在法人金融事業群的「數位銀行處」,和「數位安全處」以及「資訊處」整合,成立資訊管理中心,並在劉培文的帶領下,以推動公司的數位轉型。

職務調整,見證一銀資安架構發展

第一銀行這種跨域挖角補不足的作法,也讓第一銀行在ATM的盜領危機後,找到新的因應之道。

剛開始,劉培文雖然取得主管機關要求的金融從業人員證照,但他仍是金融業務的門外漢,不過,資安專業讓他相信:「沒有內建資安所提供的金融服務,無法贏得顧客的信任。」

所以,劉培文上任後,先花三個月時間了解金融業的資訊運作,也因應ATM盜領事件,來調整銀行的資安架構。

他說,因為ATM盜領案的導因來自海外分行的資安問題,當時對資安的長期規畫傾向於集中式的資安,像是銀行要有區域中心,相關的資訊要集中連回臺灣;至於海外分行的資安發展需求,則考慮設置區域資安中心。但關鍵是,一旦要把資安架構移出總行,資訊架構就必須改,妥善的切割海外分行的內外網架構。

不過,目前這個資安架構調整規畫,迄今還沒有實現。他表示,光是網路架構調整就花兩年;之後,配合數位安全處的成立,海外分行都必須架設內、外兩道防火牆以確保安全,「相關資安設備都是從臺灣先完成相關設定後,再協同一銀資安人員以及相關的資訊服務業者,一同遠赴海外分行架設。」他說。

不僅如此,這段期間,也忙著進行總行伺服器的盤點和資安分級、分類,其中還得處理許多軟體授權到期後的續訂或更換,也針對不再提供更新服務(EOL)的軟體進行調整或升級,最終目的是:不能讓業務中斷。

他表示,金融業經常談三道防線,資訊是資安第一道防線,數安處則是第二道防線,稽核就是第三道防線。對第一銀行而言,跟資安有關的事,就找資安處,「資訊、資安和數安的分工沒有標準答案,端看組織的成熟度,以及團隊是否能夠互信。」他說。

數位金融改造將引領銀行業務發展

劉培文職務的異動過程,也反映一銀資安發展的進化。第一階段,他剛到一銀擔任資訊管理中心副總經理的時候,同時兼管資訊和資安兩大業務範圍,

需要調整資安架構時,可以找來資訊同仁了解運作狀況。

到了第二階段,劉培文雖然不用兼任資訊處長,但開始接觸數位銀行處的業務,當時的數位銀行處屬於法金業務,後來才移到資訊管理中心統籌。

他說,這一年花最多的時間都在數位金融改造上,包括數安處成立。

對他而言,數位金融的改造就是銀行業務改造的火車頭,因為直接和營運掛勾,也影響了銀行未來的商業發展模式,對此,他曾經撰寫數位金融轉型的萬言書,寫下他對數位金融的完整規畫。

他表示,根據統計,該行在2021年數位通路的交易量,已經超過臨櫃服務的黃金交叉,「未來數位金融將成為第一銀行營運發展的關鍵。」

接下來,他可以想像的未來,核心系統在兩三年後就得調整,資訊架構可能必須大改。他評估,光是銀行的數位轉型至少要花七年時間,其他像是核心系統改造,至少也要五到七年,劉培文坦言,資訊、資安和數位金融的業務推動與改造,是一條漫漫長路。

攝影/洪政偉
資安不會真空存在,每一個改變都跟未來的業務發展有關,資安要連結到業務資訊系統才有意義。──第一銀行執行副總兼資安長 劉培文

資訊、資安和數金也要數位轉型

身為第一銀行資安最高主管,劉培文如何界定「資安長」的管理範疇呢?如何讓資訊、資安和數金部門,彼此緊密合作?

他表示,各種日常維運作業,必須要清楚界定部門的角色和職掌,每一個部門做什麼事情、掌管哪些業務和系統,都必須一清二楚。

目前最大困難在於,所有銀行都在談數位轉型,從資訊、資安到數位金融部門都必須推動數位轉型。他說,可以將這三個部門想像成三家不同的公司來思考,若要緊密合作,就得互相知道彼此的業務部門主管和高階主管,正在做什麼,甚至是想什麼,才可能實現。

因此,他認為,資安長必須知道企業未來業務發展方向,了解科技如何隨之改變,資訊系統又該如何跟著改變,甚至連資安實務也須有對應的調整「每一個改變和調整都環環相扣,絕對不可能關著門憑空改變。」他解釋:「資安不會真空存在,每一個改變都跟未來的業務發展方向有關,資安要連結到業務資訊系統才有意義。」

稱職資安長具備的三種特質

劉培文認為,成為稱職資安長需要三種特質,首先,要主動積極發掘問題,杜絕「多一事不如少一事」的心態,資安從很多小地方開始,為了防微杜漸,資安長得主動找問題,像是主動訂閱各種資安新聞、掌握國際法規標準趨勢,不要被動等同仁提供資訊。

其次,要能落實開放、積極溝通。他表示,資安面向太廣,至少要達到,所有業務可以順暢進行、將企業風險降到可接受的水準。劉培文舉例,資安要跟各業務單位合作並了解其想法,像是密碼長度不足,從八碼增加為十碼,對每次交易都要先輸入密碼的分行行員而言,是一件痛苦的改變,怎麼讓行員接受安全度更強的密碼長度,資安單位得將資安意識推廣到業務單位才行。

第三,虛心學習、持續成長。劉培文帶領資訊、資安和數位金融部門,未來不只要發展數位上雲,資訊開發又要朝敏捷迭代模式發展,數位和業務單位組成的產品小組更必須快速反應市場,光是如何進行資安檢測、同時滿足業務和資安需求等,都必須要掌握新技術、新方法才能做到,不能憑過去經驗來解決未來的問題。

但他認為,未來在開放銀行架構下,很多典範隨之改變,對資安長而言,重點仍在管理,須決定大方向和設定中長期願景目標,後面的策略、戰術、資源配置調整,才能跟得上。

 CISO小檔案 

劉培文 第一銀行執行副總兼資安長

學經歷:成功大學電機工程研究所博士,擁有20年資訊產業工作經驗,先前曾擔任資策會資安科技研究所副所長,並兼任國家資通安全會報技術服務中心主任。2016年底,接任第一銀行資訊管理中心副總經理,帶領數位銀行處、資訊處、數位安全處共逾450人;2021年6月,兼任第一銀行資安長一職;到2022年4月,又兼任第一金控資安長一職

 公司檔案 

第一銀行

地址:臺北市中正區重慶南路一段

成立時間:1899年11月12日(日本明治32年)

業務類型:提供個人金融、企業金融和數位金融等各種金融服務

資本額:980.8億元

董事長:邱月琴

總經理:鄭美玲

員工人數:8千多人

分行數量:總行營業部外,尚有187家分行;另有30家國外分支行、3家辦事處、1家子銀行及8家子分行

 資安大事記 

2016年11月30日:劉培文擔任資訊管理中心副總經理,兼管資訊和資安

2017年6月1日:一銀向臺灣產物保險公司投保「資訊系統不法行為保險」(俗稱電腦犯罪保險),保額1.5億元

2018年:行動App上線

2019年:正式推出全新「iLEO」數位副品牌

2020年9月:導入虛擬桌面服務

2021年:正式啟動核心資訊系統的轉換工作

2021年6月17日:接任第一銀行資安長

2022年1月:成立資安諮詢小組,諮詢外部專業資安專家,範圍包括銀行資安治理與管理架構、資安計畫投資、整體資安執行情況

2022年2月:召開第一次資安諮詢小組會議

2022年4月21日:兼任第一金控資安長


熱門新聞

Advertisement