再探披著新羊皮的狼
信用卡示意圖。圖/ingimage
接續3月21日前文「披着新羊皮的狼」提醒幾個重大「資訊安全」危機?近更聽說特定國內銀行業者在認和資訊人員陪同下,分別在去年十月與今年二月間曾專程拜訪「光大銀行」、「廣發銀行」、「廈門銀行」、以及「中國銀行」等單位,觀摹所謂先進的「信用卡核心系統」,並稱可能有七、八成機會考慮採用(更有說法刻在採購過程中)?當然也有銀行業者基於高強度資安顧慮斷然拒絕。
首先從「市場面」分析,根Nilson Report 預測,未來十年間,全球信用支付卡產業估算因詐欺、網路漏洞而造成的損失金額累積近四千億美元左右,因此銀行業者花費數百萬美元成本提升引進先進的「信用卡核心系統」(簡稱PCI DSS)或有需要?
再以「資訊防護面」分析,僅略爲深入探討「信用卡核心系統」 PCI DSS 處理的持卡人交易資料內容,表面上系包括「主要帳戶號碼」:即卡片上的帳戶號碼,通常爲 16 位數字;「全名」:持卡人姓名;「到期日」:以及卡片到期時的月份和年份;「服務代碼」:自動從信用卡晶片中取回的數值,以便進行交易。
而PCI DSS 涵蓋的敏感認證資料則涵蓋「全軌資料」:信用卡芯片上同等資料;「卡片驗證碼」:芯片卡片上的三位數或四位數安全碼,網上購物時必須使用;「到期日」:卡片到期時間;以及「個人識別號碼 (PIN)」:允許 ATM 提款和其他交易的唯一號碼(通常是四位數)等;
另國際標準PCI DSS 基本框架至少應具備十二項基本「防狼要求」(具有 300 多項子要求),如安裝和維護防火牆;不要在連線網路裝置上使用廠商預設密碼;透過加密保護儲存持卡人資料;在開放公共網路上加密持卡人資料;防範惡意軟體;以及維護安全系統和應用程式等;同時要求在「需要知道」基礎上限制持卡人資料存取;識別並認證系統元件存取權限;控制和限制對持卡人資料實體存取;監控對持卡人資料片存取;定期測試安全系統;以及維護資訊安全政策。
聽說國內銀行業者要求「狼性」軟體廠商交付「原始碼軟體」來自我保證「資訊安全」?然其是否能代表高強度「資訊安全」作爲,答案是絕對否定的。因爲木馬化的「開放原始碼」極難被髮掘,它們看起來就跟正常軟體一樣毫不起眼,特別適用於「目標式攻擊」與「潛伏式功擊」。
暫且不探討「龐大資料庫維運」、「大數據運算」、以「AI建模」等議題;前述重要資訊主、側翼防護強度至少應該與「數位國民卡」並駕齊驅?試問國內法規能否適時管轄、監督?國內主管機關(數位部、金管會、甚至國安單位等)能不擔心嗎?日日使用「信用支付卡」的民衆能不受怕嗎?值得三思!
再倒檔「披着羊皮的狼」歌詞內容:「我小心翼翼的接近怕你在夢中驚醒,…….,我決定我就是那一隻披着羊皮的狼;..….,我確定你就是那我心中如花的羔羊!」等語,不由得心跳加速,可能是「杞人憂天」嗎?