構築打擊金融犯罪的統一防線

2016年2月，紐約聯邦準備銀行（New York Fed）遭駭客攻擊，導致孟加拉中央銀行存放該行帳戶的巨額被盜取。駭客入侵孟加拉銀行系統，竊取其轉帳憑證後，向紐約聯邦準備銀行提出多筆交易請求，將金額從孟加拉銀行帳戶轉入菲律賓和斯里蘭卡銀行。駭客找到這些銀行網絡和系統的薄弱環節，進行了歷史上最大的銀行盜竊案。儘管孟加拉銀行已經回收了一些被盜的錢，並與反洗錢當局合作，儘管如此，駭客仍然成功竊取了轉移到菲律賓的8000萬美元。

孟加拉中央銀行的搶劫案、與我國遠東銀行於去年10月發生的資安事件，都只是近期幾個引人注目的資訊洩露事件中的其中之二，其所暴露的資訊安全隱憂影響了數以億計的消費者，是一部活生生的反面教材，展現了駭客是如何利用金融機構中的網路安全、舞弊與反洗錢環節的漏洞來謀利。這些功能在一個金融機構裡通常是互相獨立的，意味著他們各自擁有的數據不完整，缺乏有效的溝通，彼此之間沒有交換資訊或整合，日常的工作與流程也不斷在重複著。

將網路安全、舞弊與反洗錢視為各自獨立的金融犯罪並不正確。詐欺交易或與網路有關的盜竊行為是洗錢的溫床，因為非法獲得的資金必然要轉移到其他帳戶。盜竊與詐欺，常利用網絡安全系統的漏洞，例如在用戶設備上植入惡意程式或是通過網絡釣魚攻擊竊取用戶個資。以孟加拉中央銀行的網路竊盜案為例，駭客首先透過設計惡意程式來避開控制，在內部潛伏偵查以瞭解銀行內網與SWIFT系統的運作方式，並在未經授權的情況下利用竊取的孟加拉中央銀行的認證訊息向系統發出指令，規避內部安全檢測機制的同時，將贓款轉移至數個詐欺的銀行帳戶。最後，這些"黑錢"在流向菲律賓的多個賭場內進行"洗白"。 

金融機構無不對這一類型的網路犯罪十分重視，但至今尚不知要採取何種安全措施或管控機制才能夠徹底防範。在PwC《2018 全球資訊安全狀況調查》與《第21屆全球企業領袖調查報告》中，CEO們皆表示網路攻擊是最當前最令人擔憂的威脅，然而卻有高達44%的受訪者坦言尚無制定資訊安全相關策略。在PwC近期所發布的另一項調查《全球經濟犯罪調查》中顯示，過去兩年有近一半的跨國企業遭遇過詐欺，相較於2016年又增加了13%。網路安全、反舞弊和反洗錢相關控管之整合能讓金融機構有機會重新審視其法規遵循的義務，不同職能的部門之間共享訊息有助於整體調查，並推動金融機構在單一框架內制定一致的流程，以降低整體風險，促進流程的優化。