金檢數位金融 曝國銀二漏洞

新冠肺炎疫情期間,國銀爲降低人與人接觸,力拚「零接觸」服務,也狂推數位網路帳戶,據金管會最新統計,截至2021年6月30日止,國內數位存款帳戶開戶人數已上衝832萬戶,較去年同期大增將近七成。

然而,金管會金檢報告指出,國銀在數位金融業務上主要有二大缺失,一是對客戶線上申請數位存款帳戶,部分以人工方式評估客戶風險分級作業,但未建立檢核機制並留存人工評估紀錄備查。二是對不同信用卡客戶在同一日利用相同IP位址或電話,申辦信用卡,未建立檢核機制,不利防杜他人僞冒申辦信用卡。

金管會也提出二大改善辦法,一是應對數位存款客戶風險分級之人工評估作業留下評估軌跡,並建立檢核機制,以瞭解其評估客戶風險等級的妥適性。二是應確實建立同一IP位址或同一電話申辦金融服務的檢核控管機制,防杜人頭帳戶。

在資訊安全上,國銀主要有二大缺失。一是「辦理應用系統或行動裝置應用程式(APP)異動之相關安全檢測及上線作業」有欠妥適,像是異動程式上版前辦理程式碼檢視程序及測試驗證流程欠嚴謹,未能發現程式邏輯錯誤,或未循既有作業流程執行完整測試並提供佐證資料。二是「辦理重要業務主機或伺服器作業系統安全參數管理作業」有欠妥適。

金管會建議,應全面檢視主機系統及伺服器重要安全性參數設定的妥適性,確實辦理各項定期檢核作業,並落實執行,以維主機系統安全。