「公股銀行哀矜勿喜,遠銀被駭的下一個未爆彈」

「立法院數位國家促進會」於今日(10/17)在立院召開記者會揭露公股銀行核心系統過舊,恐怕成為駭客下一個目標。公股銀行核心系統超過 30 年未更新,防護不易,維護成本高,且難以增加新功能。這不只使公股銀行喪失許多商機、浪費公帑,更可能成為安全漏洞。而在獲利下降下更換新系統,卻會可能如同台灣壽險業,極易易讓中國廠商低價得標,再次造成資安疑慮,產生更難以回頭的惡性循環。

第一個惡性循環:系統封閉老舊,新需求無法銜接,只好外掛架接,架構更複雜
立法院數位國家促進會長余宛如表示,公股銀行的核心系統始於 1982 年年財政部的計畫。當時多使用 IBM 等廠商的專屬、封閉式主機,並加以在地化。由於環境封閉、獨立,無法更換其他廠商的主機,也無法和其他系統連結。這在金融高度數位化且業務百花齊放的時代,根本無法滿足新業務需求。只能在原本的系統上以外掛等方式嫁接不同的程式,讓原本已經很難以維護的系統,更更加疊床架屋,不只營運成本上升,難度更高至幾乎不可能更新,成為惡性循環。

而更更令人擔憂的是,這可能還只是公股銀行,甚至台灣相關政府單位面對的第一個惡性循環。系統的限制,讓公股銀行在推出新產品的速度往往遠輸給新型態金融公司或民營銀行。這樣的時間差將使公股銀行失去先機,競爭力下滑,甚至獲利下降,使得國庫收益減少。而獲利的減少,也將使公股銀行的營運經費降低,造成在選擇金融系統廠商時,使得中國廠商低價得標,形成第二層的惡性循環。

第二個惡性循環:獲利利與預算一同下降,中國廠商低價得標,資安問題惡化
余宛如委員以台灣壽險業的案例舉例說明,台灣壽險業除了了國泰人壽外,在近三年陸續開始進行核心系統更新。此核心系統內包含了保戶們的各種高度隱私資訊,且往往以「戶」為單位做歸檔,重要程度可比戶政資訊。但由於壽險業近年表現不盡理想,且負債率甚高,各家往往不得不使中國廠商低價得標。兩岸關係敏感不說,中國資訊軟體產業與中國政府環相扣,壽險業此舉無疑將台灣人民的資料,甚至國家金融資訊拱手相讓中國。

余宛如呼籲盡快通過資訊安全法,提升公家機關資訊量量能
余宛如委員表示:「若此狀況,也出現在銀行,甚至公股銀行,只怕中國將盡享台灣所有財務資訊。但國內銀行資訊安全量能普遍低落,應該要儘速通過我所提的『資訊安全法』,使得更多的資訊安全量能夠進入公股銀行中,儘早彌補缺失。而金管會等有關單位也應該對壽險、銀行在採購
資訊軟體一事上進行告知、督導之責,以避免國家安全缺了一角。」

即便彼時遠在澎湖,行政院長賴清德在 10 月 7 日即對遠東國際商業銀行被駭一事表示,相關單位應該就此事儘速處理,並且檢討資訊安全。立法院數位國家促進會相信賴院長必將以此為鑑,並加速協助資訊安全的推動,以達到蔡總統在 9 月29 日所提出的「資安及國安」。