仲至信息提出APP与SWIFT CSP合规建议 助力消弭FinTech网络安全风险

杨士贤顾问表示，早年网络不发达，金融作业环境处于封闭网络，安全风险相对轻微；反观今日金融交易，银行可掌控部分，仅剩下自家后端数据库和交易系统，前端已被智能型手机APP取代。主管机关意识到其中的安全疑虑，要求所有金融机构须将APP交由第三方合格实验室执行检测，以确保其安全性。合格实验室会引用「行动应用APP基本网络安全检测基准」为检测作业依据进行安全检查。
 

值得一提，台湾主管机关颁布的最新版「金融机构提供行动装置应用程序作业规范」，本次改版重点针对第9条修正，除规范金融机构提供客户使用的APP每年应接受基本检测，并对相关应用程序及服务器执行源码扫描或黑箱测试外，还新增要求需通过「OWASP Mobile APP Security Checklist L2」的规定。
 

该Checklist L2涵盖8大环节，不同于以往着重于移动应用APP本身的安全为例，在第一项便要求移动应用APP在开发过程需进行架构、设计及威胁建模分析，对于移动应用APP安全要求严格程度显著提升。
 

顾问表示，金融机构指派窗口人员向实验室递交检测资料时，由于不熟悉「架构、设计及威胁建模分析」内容，对资料提供经常陷入「束手无策」的窘状。有鉴于此，仲至信息除了提供检测服务外，亦会藉由顾问团队进行Threat Modeling分析教学，协助客户厘清相关疑惑。安全的应用程序开发流程是在撰写APP前先进行系统分析以厘清安全要求，再根据细则规定进行开发；若省略安全分析作业，则MSTG-ARCH-6「移动应用程序和相关远程服务的威胁模型已经制定，以识别潜在的威胁和对策」，便难以符合。
 

事实上Thread Modeling相近于传统结构化分析的资料流程图Data Flow Diagram, DFD)，唯一差异在于多出「安全界限」。安全界限意指可控、不可控中间的那条线，只要有资料流穿越安全界限，即需分析每一种可能发生的风险，以确保APP相关风险受到关注。

市场上有部分工具可针对移动应用APP执行OWASP Mobile Top 10扫描，但OWASP Mobile Top 10与Checklists L2内容仍有差异，另因法规明定须将APP送交合格实验室进行检测，最终需以实验室出具的检测合格报告为依据，有程序上的严谨性。然而这不代表工具无用，工具仍可作为金融机构内部自行先期自行检测之用。