Yahoo奇摩新聞 刑事局轉戰台新銀行資安長!1年來最大挑戰是什麼?企業資安該怎麼推?
「帶動企業整體的資安意識與文化,以及制定出明確的風險管理策略,是資安長的職責。」台新銀行資安長陳詰昌說道,作為台新銀行特意從刑事警察局偵查第九大隊(以下簡稱「偵九隊」)挖來的資安人才,他上任至今恰好滿1年。
這個轉職結果,其實並不令人意外。畢竟在陳詰昌過去22年的公職生涯裡,曾偵破轟動全台的一銀ATM跨國盜領案、遠東銀行駭客案。無論在警界或企業界,他的職責一直是與黑帽駭客鬥智鬥勇。
台新銀資安長——從「偵九隊隊長」變成「金融資安守護者」
時間回到2000年左右、陳詰昌剛加入偵九隊,跟著其他警員一起奔波調查網路犯罪案件,白天猛查IP線索,晚上埋伏抓人,「那時候我才慢慢理解,原來整個台灣,政府與企業被駭的程度都相當嚴重。很多政府部門系統幾乎被打穿,內部甚至埋了一些Keylogger(指一種惡意程式,監視鍵盤按鍵紀錄,再將按鍵紀錄傳送回駭客的伺服器),機敏資料每天大批、大批地往外傳。」
陳詰昌直言,前陣子鬧得沸沸揚揚的健保署個資外洩,該事件並不是第一次發生;而國內金融產業被駭的真實案例,次數也超乎我們的想像。
「警察碰到的駭客類型往往更複雜,有些不是為了錢而來,而是目標影響國安,比如他可能要拿取政府單位的公文、臥底在對岸的人員名單,或者談判的機密文件。」陳詰昌說道。
金融業資安長LINE群結盟,對抗駭客!
當問他從警界出走、轉換跑道的原因是什麼?「我原本就沒有打算在公務員崗位待一輩子,過程也有不同的行業遞來(資安長職位)邀約。」陳詰昌分享,最後之所以選擇進到金融業,是因為察覺這裡願意投入更多的資源(包含人力、經費)在資安防禦上,「想像我在內部推動資安政策的時候,碰到的阻礙可能會少一點。」
不只有陳詰昌這麼想,永豐金控、元大證券、日盛、台北富邦銀行的現任資安長也都來自警界。「大概有6位吧,從警隊出來到金融業,我們自己就組了一個LINE群,互相分享新聞消息,也會談論彼此遇到什麼樣的工作問題。」無形之中,多家銀行之間已默默形成一道資安聯防。
延伸閱讀:新光三越安控長馬振華:做資安,千萬不能自滿!上任5年揭最大挑戰
資安長上任一年了,揭最大挑戰:資安人才!
而陳詰昌所在的台新銀行,其資安單位編制要求是18人,目前還有空缺,「真的很難找人,法規現在要求各上市(櫃)公司都需要專職或專責資安人員,變成各個企業都在相互挖人,像我們上個月就有一位同事到科技業去,因為那邊開出來的薪水更高。」
內心雖然無奈,陳詰昌還是代表金融業向資安人才表達誠意,「(但凡參與資安相關的)考試、上課,皆由公司內部全額支出;考試通過之後,公司會再給予特定加給,這些都經過高層批准。」
陳詰昌也不避諱地說,「資安」在銀行內部不是討喜的部門,「舉個例子,最近聊天機器人ChatGPT不是很紅嗎?公司同仁都想要用。他們看到的是這個東西如何提升工作效率,但我看到的是這個東西可能存在的資安風險。」這些日子以來,與各處室處長之間的溝通、協調,成為他很重要的工作課題。
「『跨部門的溝通、協調』是我現在要努力的方向,讓各處室的處長與同仁能夠理解資安到底在做什麼,以及了解我們不是故意要卡大家的業務,而是確保企業能在安全的環境下穩健成長。」陳詰昌表示:「現在每次遇到處長,我都會先說:我不是來找碴的,是在盡量安全的前提下,幫你共同完成工作任務。」
另一方面,他很高興看到身旁同仁的資安意識正在進步,「舉例來說,端點安全的回報,某位同事前陣子遇到一些奇怪的網路狀況,他會立刻向資安部門反映;或者,之前發生某家企業的個資外洩事件,同事第一時間轉傳新聞給我,然後希望我們評估信用卡資料外洩的潛在風險。」陳詰昌認為,以上都是好現象,代表企業同仁的資安意識有所提升。
無庸置疑,資安防護是企業中所有人的責任。「不要以為找了一個警界的資安長,企業就會完全沒事。沒有英雄主義,只有團隊作戰,」陳詰昌堅定表示。
延伸閱讀:【圖解】資安長CISO要具備什麼資格?職責是什麼?企業資安長一次解密
責任編輯:林美欣
更多報導
華航、iRent接連被駭客攻擊!上市櫃公司若「資安危機未重訊」,最高罰500萬
拚2年內讓8成銀行「免密碼」!資安新創GoTrust不靠砸錢行銷,怎麼收服大客戶?
