《金融機構提供行動裝置應用程式作業規範》: 行動APP資安 進一步合規

近年全球持續籠罩疫情陰霾，加速了數位化進展，連帶也為金融科技（FinTech）挹注催化劑；彷若兩面刃，同時也引發更頻繁的駭客攻擊，使得「資安」再度躍升為金融產業所矚目的議題。

手機APP資安檢測範圍擴及OWASP Checklist L2的項目

金融單位服務，這幾年變化很大，端出許多雲端服務的機能，其中為了提高消費者的便利性與營運端服務效率的提升，外加目前大眾幾乎是人手一機，行動裝置(手機或是平板電腦)，因此銀行透過行動應用程式(APP)方式的金流服務，幾乎成為常態性，尤其這兩年疫情期間，雲端服務更為頻繁，這也成為資訊安全可能的破口，因此銀行主管機關金管會與銀行公會於109年4月針對《金融機構提供行動裝置應用程式作業規範》再度變動更新條文的要求。

這次《金融機構提供行動裝置應用程式作業規範》改版重點針對第9條修正，除規範金融機構提供客戶使用之APP每年應接受基本檢測，並對相關應用程式暨伺服器執行源碼掃描或黑箱測試外，還新增要求需通過「OWASP Mobile APP Security Checklist L2」的規定。該Checklist L2涵蓋8大環節，不同於以往著重行動應用APP本身的安全為例，在第一項便要求行動應用APP在開發過程需進行架構、設計及威脅建模分析，對於行動應用APP安全要求嚴格程度顯著提升。

安華聯網資安合規處資深資安顧問楊士賢回想起早期當網際網路尚未普及時，金融作業環境處於封閉網路，安全風險相對輕微；反觀今日金融交易，銀行可掌控部份，僅剩下自家後端資料庫和交易系統，前端已被智慧型手機APP取代。也促使金融單位主管機關意識到其中的資安疑慮，進而要求所有金融機構須將APP(應用程式)交由第三方合格實驗室執行檢測，以確保其安全性。第三方的合格實驗室，則會引用行動應用APP基本資安檢測基準做為檢測作業依據，進行安全檢核。

協旁釐清 從法規流程與技術著手

楊士賢顧問從其熟練的金融機構客戶服務中的經驗分享，金融機構會指派窗口人員向實驗室遞交檢測資料，但是經常由於不熟悉「架構、設計及威脅建模分析」內容，資料的提供經常陷入「束手無策」之窘狀。因此他就會帶著顧問團隊協助客戶釐清疑惑，除了檢測服務外，還進行Threat Modeling分析教學。楊士賢從技術探究表示，安全的應用程式開發流程是在撰寫APP前先進行系統分析以釐清安全要求，再依細部規格進行開發；若省略安全分析作業，則MSTG-ARCH-6「行動應用程式和相關遠程服務的威脅模型已經制定，以識別潛在的威脅和對策」，便難以符合。

Thread Modeling相近於傳統結構化分析的資料流程圖Data Flow Diagram, DFD)，唯一差異在於多出「安全周界」。安全周界意指可控、不可控中間的那條線，只要有資料流穿越安全周界，即需分析每一種可能發生的風險，以確保APP相關風險受到關注。

結論

最後楊士賢顧問表示，市場上有部分工具可針對行動應用APP執行OWASP Mobile Top 10掃描，雖然與OWASP Mobile Top 10與Checklists L2內容仍有差異，但是這不代表工具無用，工具仍可作為金融機構內部自行先期自行檢測之用作為參考指標，再遵循法的明文規定將APP送交合格的實驗室進行檢測，最終以實驗室出具的檢測合格報告為依據，讓程序上的嚴謹性更為確鑿。

楊士賢顧問也提醒當我們談到FinTech資安課題，有些皆值得關注的重點，例如資通安全法合規、金融APP安全檢測、SWIFT CSP合規評估等。下回楊顧問將分享SWIFT CSP歷年來的演進與提及合規評估作業五步驟，敬請期待。