Re: [問題] 銀行行員的疑問消失
大概說一下後續吧,國泰世華總行來電,告知我他們其實在上次金管會的資安稽核後大幅
提升了資安的管控及資料搜集與利用的限縮,裡面有太多不知道算不算商業機密的,我就
略過他們所使用的系統及方法。
然而他表示,在國泰世華裡,有發生過幾次「客服的便利性與資安問題的拉扯。」就舉例
來說好市多現場推銷的業務,就會遇到這個問題,但「資安問題」永遠排首位,所以他們
是配發現場人員公務使用的手機或相機,並且系統上訂有使用限制及規範。
回過頭看行員這件事,其實是無法用外在非預設的設備做資料的輸入(縱使可以,也應當
經由公務設備),但因為行員的不熟悉,誤以為可以而做出的未遂行為。
且每個人都應有權利決定每一個資料是提供給誰,而且應該是1對1的原則,這是一個邏輯
問題。
便宜行事帶來的也許是方便與節省時間,但面對資安問題,永遠是嚴陣以待,沒有但書。
還是老話一句:在當下不值錢的情報,不代表下一個十分鐘他還是一文不值。
謝謝國泰世華總行的詳細解析與以主動以這個行為分析出各種可能的資安漏洞並且防堵。
P.s對於資安無所謂的版友,可以略過我的文章,因為不是每個人都跟你一樣,在資安問
題面前,兒戲。
※ 引述《billy40215 (taco)》之銘言:
: 大家不知道記得去年12月我抱怨的一篇國泰華江分行的文章(可搜尋複習一下),我今
天
: 太無聊突然想到一個自己覺得很恐怖的狀況。
: 當時分行行員確實說了一句:「讓我用我的手機先拍你的身分證,嗣後再傳輸到電腦裏
做
: 驗證。」這一句我現在想起來有點毛骨悚然。
: 為什麼呢?因為正常而言,銀行內的電腦跟國軍的電腦一樣,會管控所謂的USB存取,
資
: 料的來源及交換,都應該由內部網路,那麼如果依該行員說的,先用手機拍再嗣後傳輸
到
: 電腦有兩個以下可能的情況
: 1、使用USB傳輸,那麼如果可以透過USB從手機輸出資料到電腦中,是否可以反向操作
的
: 從電腦輸出資料到手機中帶走?
: 2、使用私人電子信件寄到公司統一的信箱中再由電腦下載。那麼問題出現了,首先眾
所
: 週知除了蘋果手機外,一般安卓手機多多少少都有一些些嚴重或無關緊要的病毒,然而
再
: 透過私人郵件的寄送,是否資料被盜取的機率加倍提升?
: 然而看該行員如此不以為然的提議,是否說明她「可能不是第一次」有這種行為?那麼
她
: 的手機、電子郵件中究竟儲存了多少人的證件照片?而此行為我相信如果是一個菜鳥是
不
: 會這樣擅自提出這種注意,那又是誰教的呢?
: 再拿李宗瑞的案子舉例,他雖將資料刪除才將電腦送修,卻被不肖業者以特殊軟體拉回
資
: 料後作為不法之用途,那麼回過頭來看這件事,如果今天行員手機送修,縱使資料清空
的
: 狀態下,有沒有可能遇到不肖業者同樣的行為呢?
: 銀行首重資安,我致電詢問過國泰客服,國泰客服表示「在客服中心是完全無法連外網
以
: 及USB連結也是有管控的,但分行電腦確實可以連外網,實際設定如果無法確定。」那
麼
: 客服中心的限制,為何到了第一線...卻出現了可能的資安漏洞?
: 我記得華南的第一線的電腦也沒有可以連上外網的能力(除了特定幾台提供給客戶使用
的
: 電腦),以及對於資料存取及交換,也都是透過內部網路的信件,USB孔更是封死的。
: 故,如此這般,也許會有人說我杞人憂天,但又一句話說「不怕一萬,只怕萬一」,可
能
: 今天我是販夫走卒,我的個資不值錢,但如果這個資安漏洞為真實存在,那麼在駭客猖
獗
: 技術純熟的現在,會有多少人的個資而因此洩漏?而黑市中交易的個人資料,究竟被賣
向
: 何處,不得而知,就拿我十幾年前已沒在使用的某個yahoo帳號來說,近幾年yahoo已經
不
: 知道發了幾封信給我,告訴我有人嘗試從我從沒登入過的位置登入,已被系統阻擋,位
置
: 從一開始的臺灣、中國、俄羅斯,接著到東南亞,最遠到歐洲。如此在這一點點資訊對
於
: 駭客都值錢的現在,身為銀行一個個資大資料庫,自然成為覬覦的對象,無所不用其極
的
: 能拿到多少資料是多少,那麼銀行除了加強系統的安全外,對於人員的資安教育...是
否
: 更應該加強?系統再強也擋不住人為。
: 我甚至遇過有公司規定,上班不能帶手機,請把公司電話留給親朋好友,上班期間有如
何
: 事情找你請撥打到公司找人,理由是杜絕用手機翻拍客戶資料攜出的可能。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.214.130.209
※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1491888091.A.F3F.html
討論串 (同標題文章)
Bank_Service 近期熱門文章
PTT職涯區 即時熱門文章
6
13