【大紀元7月2日報導】(中央社記者林惠君台北二日電)越來越多民眾使用網路銀行進行交易,網路銀行的資訊安全更形重要,日前台灣行政院金融監督管理委員會修正相關契約範本,將因駭客入侵造成客戶財務損失修改由銀行負舉證責任,使銀行負起確保電腦及網路安全義務。不過,防毒軟體業者呼籲,使用者本身也應加強防止被入侵。
台灣金管會修正「個人電腦銀行業務及網路銀行業務服務契約範本」,原契約範本有關第三人盜用帳號產生的損害,過去由使用者必須證明銀行故意或因重大過失不知第三人盜用帳號的事實,才能向銀行請求損害賠償。金管會修改為「除非銀行能證明客戶有故意或過失者外,銀行仍負責任」,將舉證責任轉由銀行負擔,使網路銀行的使用者更有保障。
台灣目前雖然沒有因網路銀行詐騙損失金額的統計,不過,根據賽門鐵克大中國區個人及小型企業產品事業部經理呂理正指出,網路交易普遍的美國,去年統計在網路遭詐騙的金額高達 1億美元。由此可見,隨著網路的普遍,虛擬詐騙金額也相當驚人。
呂理正指出,台灣的網路使用者對資安的概念僅停留在安裝防毒軟體上,其實完整的資安設備除基本的防毒,包括防火牆、防止入侵等防護。他指出,就賽門鐵克對去年銷售者所作的統計顯示,只有約三分之一使用者購買全套的防護軟體,大部分的使用者都只有購買防毒功能的軟體。
雖然金管會修正相關契約範本,加重網路銀行對於資安的維護責任,不過,呂理正提醒網路使用者,本身還是要加強資安的防護。
根據賽門鐵克日前發布的「全球網路安全威脅報告」指出,金融業是網路威脅的主要目標,攻擊模式是以線上詐欺及身份竊取為主流,攻擊的方式,在客戶端主要是惡意程式碼,如木馬程式、間諜程式 (spyware)等的攻擊,而在伺服器端則是主要針對企業客制化的網頁程式攻擊。
因此,台灣的金融業相較其他產業,資安程度相對較高,銀行該如何建構滴水不漏的資訊安全網?賽門鐵克技術顧問副理杜俊霖表示,銀行本身的防護是需要因應威脅的型式而作多層式的縱深防禦,目前主要的弱點環節是網頁應用程式的安全,包括程式的邏輯與漏洞。
至於在用戶端,杜俊霖指出,木馬、釣魚是目前主要的攻擊模式,如何加強銀行交易系統本身的交易運作流程安全,並提供安全的交易環境是首要的考量。因此,加強交易溝通管道的安全,提供客戶安全的交易環境,及改進身份竊取的弱點,加強認證的方式來降低風險。
對於網路銀行的交易安全,除基本防護外,花旗銀行在進階防護上採取的動態密碼為首創。花旗銀行電子銀行處副總裁黃宏杰解釋,動態密碼意指每次網路銀行使用者輸入的身分識別 (ID) 與密碼,是從螢幕鍵盤來點選,而且每次螢幕鍵盤顯示的位置也不一樣,避免網路使用者如被安裝木馬程式,其程式會透過實體鍵盤,以座標式截取使用者在實體鍵盤上輸入的數字或文字。
另外,黃宏杰指出,花旗銀行在網路銀行有新的程式功能上線之前,都會有第三者進行外部模擬駭客入侵的測試、或半年會進行內部駭客測試。他說,花旗在這方面的成本,每年至少比同業還要高出新台幣 100萬元。
不過,黃宏杰強調,網路銀行安全除業者本身外,客戶端的教育也很重要。花旗會透過寄發帳單、eDM,教育使用者注重網路銀行安全。在花旗銀行的首頁上也開闢「網路安全防護」的網頁,其中「小心詐騙郵件」就是蒐集網路銀行詐騙郵件範例,提醒使用者勿入陷阱。
黃宏杰表示,花旗的客戶甚至被教育到自己會把詐騙郵件發到客服中心,提醒其他人留意。
不過,「道高一尺,魔高一丈」,由於網路銀行需負舉證責任,因此,防毒軟體業者還是提醒金融業,在交易紀錄的保存及事件分析的能力上,還是需要有相對應的機制。
