1、从第一银行 ATM盗领案解析企业内部控制 吴家名 世上第一部 ATM是由英国人在 1967年所发明, 当时安装于英国伦敦北部的巴克莱银行 Enfield分行, 台湾则是在 1977年引进第一台 ATM设备, 至今已近 40个年头, 而巧合的是第一银行所发生的 ATM盗领案件, 黑客选择入侵的起点也是在英国的伦敦。ATM已是人们日常生活经常使用的一项服务与设备, 而在此次 ATM盗领案件的背后, 是否潜藏着许多与内部控制有关的问题, 让我们从案件的始末以及黑客的攻击步骤来探讨企业内部控制的省思方向。案件始末2016年 7月 9日至 10日间, 共计有 41台 ATM提款机自动吐钞, 8, 327
2、 万元新台币遭盗领, 主嫌安德鲁在七日内即被逮捕, 赃款陆续在 7月 20日前寻回, 全案也在 9月 13日侦结, 三名主嫌被以诈欺、妨害计算机使用等罪名起诉, 并处以 12年有期徒刑, 而其余 19名嫌犯仍持续在追捕中。这次受害的第一银行 (以下简称一银) 则被处罚 1000万元, 且也承诺将请独立第三方顾问公司协助从组织面、制度面、系统面及安控面进行整体规划, 重整资金安全防御机制。经过“法务部调查局”2 个月左右的调查, 发现一银伦敦分行防火墙系统的记录中显示其录音系统服务器早在 5月底就已被入侵, 应非原先所怀疑的内鬼造成的, 且黑客也在 6月底前顺利侵入一银的内部网络, 更迅速的在
3、7月 4日以前辗转透过 ATM系统更新派送服务器以及 DMS (Device Management System) 派送网关服务器将仿冒派送软件派送到各 ATM提款机, 藉此打开 ATM主机的远程联机服务 (Telnet Service) , 而 7月 4日到 9日期间, 再陆续将恶意软件个别植入到欲入侵的 ATM主机上, 被植入的恶意软件及其功用说明如下:-cnginfo.exe (取得 ATM信息、开启吐钞夹) -cngdisp.exe (选择吐钞夹、选择吐钞张数、执行 ATM吐钞) -cngdisp_new.exe (选择吐钞夹、选择吐钞张数、执行 ATM吐钞) -sdelete.exe
4、 (删除上述三个恶意软件) -cleanup.bat (重复执行删除程序, 确保恶意软件彻底被删除) 此次遭骇的 ATM主机厂牌均为 Wincor, 型号为 Pro Cash 1500, 软硬件都由德商“德利多富公司”所负责建置与维护, 且这些 ATM主机仍使用微软早已不提供外延支持的 Windows XP操作系统。此外, 此型号的 ATM主机只要支付 1, 475美元 (约台币 4.7万元) 就可以在 e Bay拍卖网上买到, 显示一银在 ATM主机的安控上可能存在着极大的疏失。而被警方逮捕以及追捕中的嫌犯详细身份与来历虽然仍在进一步调查中, 但根据该组织成员的国籍、手法等信息分析, 推理判
5、断这些成员有可能就是所谓的“Carbanak组织”。“Carbanak”的由来主要系 2015年乌克兰银行发现 ATM提款机有自行吐钞的情形, 进而委托卡巴斯基公司进行调查, 调查结果发现ATM提款机吐钞的主因是来自于网络的黑客攻击, 卡巴斯基公司也将此攻击方式称之为“Carbanak”。但由于该攻击方式难以由一人单独进行, 必须通过团体合作才得以进行, 也因此将此攻击活动的背后团体称之为“Carbanak 组织”, 这个组织成员的国籍主要涵盖俄罗斯、拉脱维亚、罗马尼亚、爱沙尼亚、澳大利亚、摩尔多瓦等。据统计资料看, 截至目前, “Carbanak 组织”在各国(地区)犯案所获赃款已超过 30
6、0亿台币, 台湾地区第一个破获此盗领集团案件。内部控制的省思有别于传统产业以及高科技行业, 金融机构在肩负金融秩序的责任下, 不仅在法规上有高于一般产业的要求, 而且就其终端客户为一般民众的产业特性而言, 更必须保障大量客户个人资料以及金融交易过程的安全, 其计算机系统以及网络系统的安控水平也必然较其他产业的要求要来得高, 但这次一银 ATM提款机被黑客入侵的案件, 不仅显示金融机构在高度安控要求下仍存在漏洞, 更让社会大众对金融机构的信心大受打击。近年来随着科技的进步, 未来金融机构在 Fintech上的应用势必将提供更多创新的金融服务, 而在现今信息网络快速发展的时代, 这些创新的金融服务
7、, 势必会为了提升使用者的便利性与效率而大量运用网络服务, 而在追求更多金融创新的同时, 金融机构以及相关信息科技服务业者的内部管理、安全控制是否已有了完善的准备, 这将是未来企业在落实公司治理以及内部控制上必须要面对的挑战。一般企业员工在执行业务的过程中, 往往需要大量的信息传递, 而考虑企业内部组织错综复杂的联络网脉, 信息单位通常在网络联机或是信息存取的设计上不会有过度的限制, 毕竟过多的限制将会影响企业运作的效率, 也因此当公司出现内贼窃取机密数据时, 大多难以防备, 而面对外部的入侵, 除了实体的安全管制之外, 对于网络的存取几乎都仰赖防火墙系统与相关网络系统来阻断外部的非法存取,
8、但是一旦防火墙系统被攻破, 内部的关键系统与机密信息都可能轻易被入侵。藉由检视一银案件的过程, 来探讨企业面对信息安全议题时, 在内部控制的技术面以及管理面上所要审视与注意的重点。从技术面来看内部控制首先从防火墙系统来看, 许多企业在设置防火墙时, 往往只针对外部对内部的联机进行严格的管控, 但对于企业内部以专线互联的分公司, 则可能采取较为宽松的存取管制, 这次黑客从一银的伦敦分行入侵, 进而通过国际专线辗转入侵至台湾总行内网, 显示一银防火墙系统对于内网的联机管控可能是较为宽松的, 且同时可能代表着伦敦分行的防护相较于总行是较弱的, 否则黑客大可直接从台湾总行正面入侵, 为何还要大老远地绕
9、道从伦敦辗转入侵呢?再者从 ATM主机的程序更新作业架构来看, 软件更新由外部辗转即可派送到 ATM主机的联机架构, 已不符合封闭式架构原则, 且为了开放程序更新作业的联机, 防火墙系统也已形同虚设, 所有黑客都可循着程序更新的联机架构, 辗转到 ATM主机开启存取服务。最严重的是, 黑客藉由程序更新作业派送至 ATM主机的伪程序, 主要目的仅是将 ATM主机的远程联机存取服务 (Telnet Service) 开启, 接下来便透过直接联机至 ATM主机来植入恶意软件, 这也显示防火墙系统可能并未将 ATM主机的联机存取给阻挡掉。整体来看, 各相关系统的访问控制设计可能早已存在各项漏洞, 才让
10、黑客有机可乘。但是即便网络联机的访问控制失守, ATM 主机本身难道没有任何安全防护吗?事发之后才赫然发现, 原来被黑客入侵的 ATM主机竟然都还在使用微软已不提供外延支持的 Windows XP操作系统, 相信一银自身不可能不知道使用过期软件可能的风险, 那为什么不更新操作系统或是更换新的 ATM主机呢?归咎主因是否可能是为了节省经费?或可能因为仗着实行 SNA (Systems Network Architecture) 封闭式架构, 而刻意忽视 ATM主机上的操作系统弱点, 但却殊不知目前所采用的 SNA架构早已被软件更新的联机架构给破坏了, 也因此让 ATM主机上许多既有的漏洞完全曝露
11、在内部网络上。除了上述的各层关卡相继失守之外, ATM 主机本身其实仍可采取最后的防护, 包含如对 ATM主机的存取联机, 可在 ATM主机上设定联机白名单, 仅允许某特定的联机可以进行存取, 更可以进一步在 ATM主机上设定执行程序的白名单, 仅允许特定的程序可在主机上执行。如此, 所有未经授权的联机或程序执行作业都将可以有效的被阻绝, 即便黑客欲入侵, 也会增加其取得 ATM主机管控权的难度。从内部控制时间点的控制来看, 即便预防性控制失效, 后续仍应有足够的补偿性与侦测性控制才是。若一银能设置一组比对程序, 在内部控制上称之为“勾稽”的机制, 及时或是定时地比对 ATM主机上的现钞库存量
12、与总行系统上的账务, 若有不符则立刻让 ATM主机自动关闭服务并通报安控单位, 或许就可让伤害降至最低, 但可惜的是这些机制可能并未被适切的设置在各系统中。整体来看技术面的控制, 似乎存在着许多可避免、但却可能因为执行不足或疏忽而造成内部控制接连失效的情形, 而这些技术面失效的背后, 其实均隐含着管理上的疏失。从管理面来看内部控制企业经营首要以盈利为目标, 但盈利背后所要努力的方向, 其实不只是全力冲刺业绩, 不断地开源而已, 更要致力于节省成本, 做好节流的工作, 而在开源节流的背后, 却还有着更重要的议题应该被关注, 也就是:风险。企业若是一味的瞻“钱”不顾后, 将多数的资源都投入在前线的
13、营业、客服等单位, 而无视或是轻忽背后潜藏的风险, 最后很可能会因为这些风险, 让企业遭致巨额财务亏损, 甚至信誉的丧失。若是企业经营者能正视经营风险, 从风险角度看待企业经营, 那以信息安全来说, 也跟营业、客服单位一样是属于前线单位。在现今竞争激烈且快速变化的年代, 虽然企业都知道要关注风险, 但在风险的对应上, 往往不是无视它就是轻忽它, 而轻忽风险的背后其实也存在着许多的现象, 包含有未审慎评估而忽略了某些风险, 也可能存在因为轻忽而刻意忽视特定的风险。例如, 许多企业以为只要取得 ISO认证便可安心, 殊不知 ISO认证着重于企业的设计是否完备, 在资源以及时间有限的情况下, 年度稽
14、核也只能抽样进行, 稽核验证无误并不代表所有的作业均完备。以此次一银案件为例, ATM主机仍使用微软已不提供外延支持的 Windows XP操作系统, 是否可能就是一个因为轻忽而刻意忽视特定风险的例子?而若公司能正视这些潜在的风险, 在 ATM主机上采取各项补偿性的防护措施, 例如, 限制远程联机的来源、限制主机上可执行程序的白名单, 或者将 ATM主机上的现钞库存金额与总行系统上的账款金额进行定期的勾稽等, 如此是否就可以在意外发生的当下侦测到异常并及时采取对应, 有效降低或避免这些不必要的损害。除此之外, 企业在组织分工上的设计, 虽然都强调专业分工与职能分工, 以确保业务的执行效率, 并
15、避免不必要的弊端, 但企业除了日常业务与专业之外, 也都会存在常设性的合作团队, 如“信息安全委员会”, 但这些组织在跨部门合作的模式下, 几乎都存在着责任模糊不清的情形。举例来说, 今天公司系统遭黑客入侵, 是信息安全委员会该负起全责, 还是信息单位该负起全责?这些责任是否均明确且适切地被订立在绩效考核的指标上?以一银的案件来看, ATM 主机的采购以及维护, 是否全权由信息单位负责呢?若不是的话, 很可能因为专业以及认真程度的差别, 造成各节点管控上的强弱不一, 且导致未能整体考虑, 很容易就会在跨责任的区块产生漏洞, 而一般企业是否也存在着技术部门或是设备部门自行开发信息系统的问题?这些
16、都会是责任归属上所经常面对的问题。所以, 当责任被职能分工的设计分散后, 企业更应该强调针对每一个目标应负起“责任”的人或团队, 凝聚团队对最终目标负起完全责任的氛围, 如此才能确保目标的有效达成。而外部的厂商有时候也是企业容易轻忽的对象。许多外部厂商都希望藉由指标客户的成功案例来营销自家的产品, 但无形中可能因此透漏了客户所采用的产品厂牌, 甚至规格与型号等信息, 这也等同于提供“有心”人士寻找漏洞的方向。例如, 有厂商公开客户公司所使用的防火墙系统品牌、规格后, 有意渗透此公司的黑客若取得这个信息, 便可针对此一型号的防火墙系统, 进行深度的研究与测试来寻找漏洞, 公司遭受不法入侵的几率也
17、将因此而大增。且特别是信息系统的厂商, 往往都可藉由维修系统的机会, 使用高级别权限登入系统, 若无严格的监督与把关, 系统很可能因此被植入后门程序, 最终招致不必要的经营损失。企业的内部控制失效, 不仅是经营者的价值观或是企业组织设计不良而造成, 许多时候也会因为组织的僵化或是员工不愿面对挑战, 在得过且过的心态下, 放任制度或控制作业年久失修。若在僵化的组织下, 社交工程防护演练便可能沦为形式, 这些最终都会导致内控的漏洞不断增加, 而使风险有机可乘。最适切的内部控制仍应采取风险导向的方式来进行, 且更要具有 PDCA持续改善的基础, 才能有效因应不断变化的各式舞弊与犯罪手法, 而上述所提
18、及的各项企业管理议题也都环环相扣。若经营者能有正确的判断与价值观, 并肩负起责任, 或许风险导向且持续精进的管理模式就能被有效推进, 也因此不致引发后续技术上的各项漏洞, 导致企业遭受损害。虽然企业必须强调内部控制的有效推行, 但仍需要独立客观的内部稽核来持续验证, 以避免各项控制设计或执行上的盲点。但经营者也必须注意到, 企业不是只要落实内部稽核机制后, 便可确保内部控制的有效性, 毕竟内部稽核与内部控制的机制一样, 都只能提供“合理化”的保证, 若是有员工蓄意舞弊或刻意规避内部控制的作业, 内部稽核是不容易查核到的, 加上现今许多黑客利用人性的好奇心、同理心、恐惧等, 进行网络钓鱼等社交工程攻击, 都有可能藉由内部员工的疏忽而顺利入侵公司内部系统。所以, 虽然内部稽核是必要且重要的复核机制, 但也并非因此便可松懈, 企业经营者仍应随时保持警觉, 持续提升企业内部控制的强度, 方能有效远离风险。结论一银案件的侦查虽已结束并进入司法程序, 但许多过程以及内部的管理问题, 外界可能仍无法确切了解其具体状况与原因, 但我们仍可藉由这个案件所观察到的现象与实际产生的影响, 来审视现今企业可能存在的共同问题, 并引以为戒, 吸取经验教训来审视、检讨企业管理的各项内部控制作业, 避免类似情况再次发生。
