國內信用卡發卡居冠的這家銀行屢次在資安上發生重大疏失，根據筆者親身服務於該銀行資安部門所見所聞忠實向讀者報告。該銀行企業金融資安單位當時在筆者服務時僅有四位員工，四人小組的組長是資安業界的佼佼者，其技術能力無庸置疑，也屢屢受邀到其他銀行講授資安管理。可是為何這家CT銀行卻是國內金管會的頭痛對象？請您詳讀本文。
筆者曾經服務於目前國內前三大銀行的資訊室(處)近五年，本篇文章採用實例經驗分享方式與您共享。筆者強調這是個人服務單位的經歷，不能代表全部銀行所有資訊室的現象，請斟酌參考。國內信用卡發卡居冠的這家銀行屢次在資安上發生重大疏失，根據筆者親身服務於該銀行資安部門所見所聞忠實向讀者報告。該銀行企業金融資安單位當時在筆者服務時僅有四位員工，四人小組的組長是資安業界的佼佼者，其技術能力無庸置疑，也屢屢受邀到其他銀行講授資安管理。可是為何這家CT銀行卻是國內金管會的頭痛對象？請您詳讀本文。

【CT銀行資安事件回顧】
日前發生網路繳費中心可以隨意檢視其他用戶個資，數量多達五萬七千筆。甚至信用卡號碼皆可用Google搜尋找到。民國九十六年CT的網路銀行發生盜轉一百四十多萬台幣事件。讀者一定很疑惑，國內規模這麼大的金融機構為什麼屢次發生離譜的安全事件，並且重複發生。就以最五月所發生的繳費中心資料外洩而言，其時間點正好是網路銀行改版上線後。銀行主管機關金管會在每次發生重要事件後，最擔心的就是信任機制遭到懷疑。所謂皇后貞操不容質疑的統治觀念漸漸在這些離譜的事件爆發後，不禁讓民眾質疑｢皇后真的沒有偷人嗎？｣

【銀行資訊安全事故皆人為肇因】
筆者數年前投遞履歷到CT銀行獲得當時由花旗銀行轉任到CT銀行的J副總賞識，聘用到資訊單位進行專案開發與監督執行工作。不料兩個月後，人事鬥爭結果發酵，這位想要做事的副總宿敵太多而被調任其他單位。守舊保守派主管陸續走馬上任，並且計畫安插自己人馬，當然原訂的專案計畫全數停擺並且終止。我不久之後被通知調任到一個無人願意進入的資安小組。這個小組有三位超過十年以上的 "資深員工" 但是沒有第四位職員，我獲悉之前進入小組的人都做不長久而離職。可想而知整個CT資安就以靠這三位員工處理繁重事務，您覺得CT銀行的資安工作能夠完善嗎？會選擇到銀行資訊單位做事的人，本身個性就是比較追求穩定、不愛冒風險、得過且過心態以及消極處世。從重大資安事故發現技術並非肇因，真正的肇因始於第一、人性；地二、金管會無能介入監督；地三、組織內部由上而下熱衷於鬥爭事務，寧可犧牲公司形象也要穩住自己派系利益。以上三點筆者已經統括CT銀行不斷發生資安事故的主要三因素，我不知道金管會諸官大爺是否心中都知道這是肇因？我相信一定都知道，無可奈何也無能力奈何。

【想做好事，請離職】
進入這個小組之後，我用一週時間檢視了所有資安專案，包含舊有系統、進行中的改版專案以及需求調整單。我納悶在這樣高能力的三人小組中，為什麼從十年前到現在的所有資安系統都搞得很糟糕？首先，既有重要線上系統需求很多是不符合現況，甚至百分之四十的功能是從來沒有用過。其次，系統開始上線後修修補補真正需要的功能，這相當的離譜。由於我屬於外來的體系，內部保守派系不可能讓我接觸HSM核心系統，但是部分問題發生在HSM系統上卻推給了我負責的中介層應用系統，讓我不斷的替相關人等背上黑鍋。我到任何公司做事的態度始終是 ｢我是受雇於CT銀行，不是受雇於我的主管，我應該以CT銀行最佳的效益來做事情。｣這樣的一個觀念讓我種下未來離職的結果。我試圖想要將這整個資安系統的問題與改善方式向主管進行報告，並且我自願著手來進行，撤徹底底改善整個系統環境。不料開始受到｢關切｣，組長時常提起自己剩下沒多少時間要退休，其他組員同事遮掩系統相關資訊，最讓我感到痛切的是這些專案跟廠商之間都有不為人知的祕密。當我提報給我的直屬女主管，沒想到她卻裝傻語表達不支持，因為資安小組每位年資都比他久遠。不久之後，我知道要在這個環境繼續｢求穩｣就必須先背三年黑鍋，考績被迫掛上乙等，這是｢規矩｣。這毋庸置疑的一定要離開，尋求其他機會。

【選擇銀行資訊部，請評估自己的個性：派系很重要】
CT銀行的資訊單位重視派系歸屬，筆者沒有向任何派系靠攏後果就是最倒楣的人。以上述資安單位為例，這鐵三角都是共事八年以上的夥伴，彼此都是犯罪結構共同體。外界突然進入一位員工，當然是拼了老命要讓你離職，不然就是測試你是否願意同流合汙成為犯罪組織一員。再回到資安事件來思考，這樣你懂了其中緣由了吧。技術都相當純熟，幼稚不成熟的都是 ｢人｣。尤其畢業之後就待在同一家公司，無法受到外界環境競爭的考驗，相對眼界狹小。對於外來的所有事物都深怕取代了自己而想出一些｢怪招｣，目的就是在保有自己到退休的機會。基於這樣的工作態度，當然在系統重大改版時｢故意｣來出個包，此時就有人要負責了。此外，外包廠商評選過程中的利益也是相當大的弊端，很多優秀的資安廠商無法得到公平的競賽，間接讓差勁的廠商製作資安系統，這也是人為因素。

綜觀上述，從事資訊工作的您當作一部分參考。要學習專精的技術在CT這樣的銀行內部無法得到精髓，請選擇一般的軟體整合公司。您的個性是喜歡搞人事鬥爭，想要學習應付人性，我建議這樣的環境非常合適。如同這資安小組的組長仍然長期代表CT公司參加銀行公會資訊安全委員會，甚至到其他銀行指導如何做好資安工作。唯一在內部的重要技能就是與副總階級的長官，投其所好而不是為了整個CT公司的最高效益而做事。任何一個CT資訊單位員工終極理念與人生目標就是｢求穩定、退休｣。在這樣的共同人生大目標之下，任何東西都可以妥協甚至犧牲，我很替CT銀行的投資大眾與公司經營者感到悲傷。