# 金融數位化時代下的資訊風險與控制管理 -為什麼需要煞車？風險管理用來控管快速成長 -資訊風險管理：對資訊系統仰賴度提高、所處的環境越來越複雜（駭客、員工盜取資料、仍要符合政府法規）資訊風險管理協助管理重要資訊 -新興科技：GDPR、Fintech，需要評估導入新興科技的風險，挑戰更勝過去 -注意面向：安全性、可用性、效能（不彰導致使用者抱怨影響聲譽、可能會影響可用性）、法遵 -資訊風險管理( IT Risk Management) vs資訊安全管理( IT Security Management) 資訊風險管理( IT Risk Management)：找作業流程的風險、確保監控風險、Like 家教、協助組織通過稽核 資訊安全管理( IT Security Management)：確保資訊無外流、無沒權限人取得access -好處：降低資訊風險管理發生的機率和影響、有效跨部門溝通、協助風控化繁為簡 -技巧：風險管理矩陣（要知道自己目標）、自行查核（找出問題）、風險註冊 # FinTech – 金融科技的美麗與哀愁 -演進：1991-Internet, 1995-ebay, 1998- paypal, 2007-iPhone, 2009-bitcoin, 2014-Apple Pay -最多 Fintech 用戶地區：中國、印度（發展快速、偽幣問題） 最多 Fimtech 使用年齡層：Y世代 -台灣概況：行動支付、跨境支付、P2P借貸、機器人理財、虛擬貨幣 -Apple Pay 代碼化（Tokenization）技術：商家、收單機構看不到卡號（減少偽卡）  -信用卡側錄裝置(Card Skimmer Device)：不一定是店家所為 QRCode 支付：偷換店家QRCode -行動銀行：惡意app（bankbot) 覆蓋在正常行動銀行app上，騙取帳密，還可攔截簡訊 -SWIFT 系統金融犯罪（釣魚信件、水坑攻擊植入後門，再找SWIFT帳密進行攻擊   -區塊鏈 -Smart Contract -資安風險：交易所、Smart Contract 漏洞、盜取 private key -金融電子化：駭客只要能控制資訊流，就能控制金流 -控制好權限（雙重認證） # 加密貨幣交易所安全性評估 -當菜市場大媽開始買，代表市場即將出現危機 -自幹交易所 -交易所的安全 -錢包類似交易所，要買賣不同幣種要到交易所（類似證卷商） -網站錢包：Coinbase、Bitoex （私鑰不在手上） -Desktop 錢包：Electrum -硬體錢包：Ledger、Trezor（亦曾有資安問題） -法幣交易所：Bitopro（法幣互虛擬貨幣）（會有法遵問題） -幣幣交易所：Poloniex -場外交易所：類似拍賣網，雙方談好即可 -btc-e domain name 曾被 FBI 監管 -大家都會被 DDoS -客服人員的資安意識 -傳統網站：internet-firewall-site-DB -交易所：  -如何挑選交易所：不要貪、交易所是公司還個人、交易所所在國家、看客服、去Linkedin 找、有沒有 bug bounty 註：有被 hacked 過1次反而可以加分（會有警覺），超過太多次要扣分  -交易所有大量資安需求