嘉哲的翻譯／寫作作品集

「組織嚴密、行為複雜、快速犯罪」的網路罪犯威脅了美國銀行

BITS是美國金融業的IT政策小組，最近小組新主管上任：Paul Smocer，他是電子郵件資訊安全與權限管理的專家

BITS是美國金融業的IT政策小組，最近小組的新主管上任：Paul Smocer，他是電子郵件資訊安全與權限管理的專家。

Somcer 目前領導BITS，協助金融服務機構應付新興的新技術─包含社群網路、行動運算和雲端運算─同時還要應付比以前更厲害的網路罪犯。BITS是由美國金融業所成立的協調小組，建立高階的網域，如.bank、.insurance和.invest等，這些網域僅限金融服務公司使用，同時可以提供消費者額外的保護措施，免於受到釣魚式攻擊(phishing)、惡意軟體攻擊和其他攻擊。

我們最近訪問了Smocer，請教他目前最重視的網路線上威脅與機會。下面是這次訪問對話的摘要內容：

請問下一年度BITS面臨的最大問題是什麼？

我們目前重視許多議題。其中一個議題是公眾／個人資訊共享的觀念。當我們了解網路犯罪世界裡的複雜程度之後，我們也認知到必須聯合金融機構，針對各種產業領域，同時配合政府單位將共享資訊做得更好。我們目前正和美國財政部(Treasury Department)、國土安全部(Department of Homeland Secutiry) 和下屬的電腦緊急事件應變小組(Computer Emergency Readiness Team)進行先導計畫，此計畫由政府投入資源，協助進行企業組織的應變彈性檢測。

我們同時努力進行有關行動金融服務(和)所需的安全與管理流程。另外我們也和Internet Corporation for Assigned Names and Number 組織合作，建立全新的高階網域。我們目前也和American Bankers Association 與其他協會組織合作，尋求建立其他高階網域，藉此提高金融機構在Internet上的安全和彈性。

請問BITS在ICAN計畫中的定位是接受數百個全新如.bank的高階網域嗎？

這代表著機會和挑戰。其他的產業協會仍然在討論整體概念，但我們認為這是一個在Internet上為金融服務建立更安全和更具彈性空間的機會。我無法預測消費者服務和這些網域在多久之後會開始對話，但這些對話將給我們進行企業間交易的機會。金融機構彼此之間交換很多資訊，並且需要比一般網路公司更高的安全需求，這給了我們有利的空間。

請問BITD對新DNS安全標準DNSSEC協助企業組織避免DNS欺騙攻擊有什麼看法？

DNNSSEC是往前邁進的重要一步，同時某些新的高階網域也需要它，包含那些處理金融機構和金融交易的網域。我很高興地認為這是我們努力的直接結果。我們也正積極針對我們可以申請的高階網域的網路安全而努力。

請問那種新技術讓你覺得最興奮，同時將對金融服務業產生重大影響？

我認為行動運用確實在未來有很大的發展可能性，同時將成為客戶服務的一個通路，但我們認為這只有在適當的安全作法下才能達成。我們剛剛發表有關社群媒體的報告，為金融業提供一些準則。我們同時正努力針對雲端運算空間中所必需面對的風險和管理問題進行更好的定義。不論是雲端軟體或是儲存服務，目前雲端運算對企業具有很強的成本吸引力。但是明顯地，雲端運算需小心應對。當我們和會員一起了解新技術時，我們經常注意的一件事是金融系統的信賴問題。我們會永遠重視風險管理問題。

請問你對金融服務業的雲端運算演進的預測看法？

我很誠實地思考了一下，我認為我們未來將會看見私有雲空間的活躍發展…因為這可能是雲端最安全的地方。

你認為社群媒體對金融服務造成的風險是什麼？同時BITS如何協助減少這些風險？

我們鼓勵企業從法律部門，企業倫理小組，到人力資源部門，從不同單位找出合適的人才參與，共同發展企業對社群媒體的態度和社群媒體政策。這不僅僅是技術問題而己。內容才是其中最大的議題。你必須確認你有能力控管張貼內容的使用者身份，同時這些使用者必須了解什麼才是適合張貼上網的內容。從個別使用者的觀點，你必須了解這是另一個引進惡意軟體的管道。但是在許多方面，社群媒體是一個演進的必經之路。很多企業開始制定政策和行為來規範管理員工使用電子郵件，和允許他們在郵件中討論的事項，並且規範他們可以匯存至社群媒體的內容。

請問BITD在IPv4位址用完並且接受IPv6的替代標準上，在金融產業所扮演的角色為何？

大部份我們的會員都非常注意這些發展中的技術議題，IPv6是這些議題其中之一。我們己經討論實行IPv6時必須面對的風險和管理考量。不論這些會員了解與否，我們持續在他們的環境裡不斷討論IPv6，所以他們必須採取預防措施。現在，我們仍在教育階段，同時持續觀察IPv6的發展階段。

請問最令你輾轉難眠的網路安全問題是什麼

第一，我擔心網路犯罪社群的嚴密組織化。第二，這個社群的動作快速和複雜化。請問我們有多少不同版本的Conficker 電腦蠕蟲？當人們開始回應第一版並防堵它的影響，你將發現第二版，然後接著第三版出現。不同版本出現速度愈快且複雜度愈高。這個結果是因為公部門和私人組織之間強大的資訊共享，好人也和壞人一樣彼此組織起來。我的第三個憂慮是技術的演進發展非常快速。因為改變的速度變得如此快速，我們很難趕上並了解其中的意義。 

請問其他產業的CIO該如何從你在BITS進行網路安全計畫的經驗中學習？

首先是協同合作。在任何產業中，總會存在著競爭問題，但彼此協同合作更容易使這個產業團結受益，並且讓這個產變得更好，或許因為金融服務業有著彼此信任的歷史，我們的會員和其他會員在不同議題之間，具備高度有效率的合作，因為他們了解這些議題將使產業裡的每一個人受益。

其次，我們目前生存的產業生態系統中，不再只是單一垂直產業。我們生存於所有產業相互依存的生態系統中，例如行動金融服務牽涉到電信供應商、Internet供應商和技供應商。夥伴關係的概念需要延伸至你自己的垂直產業鏈之外。我們都需要有效地彼此分享資訊，並且一同合作。

第三件事是不僅注意你的企業組織，更要注意你的客戶，如果你同時重視保護你的企業組織和你的客戶，這將讓你持續強化資訊安全環境，對雙方都有好處。