金融數位化時代下的資訊風險與控制管理

-為什麼需要煞車？風險管理用來控管快速成長
-資訊風險管理：對資訊系統仰賴度提高、所處的環境越來越複雜（駭客、員工盜取資料、仍要符合政府法規）資訊風險管理協助管理重要資訊
-新興科技：GDPR、Fintech，需要評估導入新興科技的風險，挑戰更勝過去
-注意面向：安全性、可用性、效能（不彰導致使用者抱怨影響聲譽、可能會影響可用性）、法遵

-資訊風險管理( IT Risk Management) vs資訊安全管理( IT Security Management)

資訊風險管理( IT Risk Management)：找作業流程的風險、確保監控風險、Like 家教、協助組織通過稽核

資訊安全管理( IT Security Management)：確保資訊無外流、無沒權限人取得access

-好處：降低資訊風險管理發生的機率和影響、有效跨部門溝通、協助風控化繁為簡
-技巧：風險管理矩陣（要知道自己目標）、自行查核（找出問題）、風險註冊

FinTech – 金融科技的美麗與哀愁

-演進：1991-Internet, 1995-ebay, 1998- paypal, 2007-iPhone, 2009-bitcoin, 2014-Apple Pay
-最多 Fintech 用戶地區：中國、印度（發展快速、偽幣問題）
最多 Fimtech 使用年齡層：Y世代
-台灣概況：行動支付、跨境支付、P2P借貸、機器人理財、虛擬貨幣
-Apple Pay 代碼化（Tokenization）技術：商家、收單機構看不到卡號（減少偽卡）

-信用卡側錄裝置(Card Skimmer Device)：不一定是店家所為
QRCode 支付：偷換店家QRCode
-行動銀行：惡意app（bankbot) 覆蓋在正常行動銀行app上，騙取帳密，還可攔截簡訊
-SWIFT 系統金融犯罪（釣魚信件、水坑攻擊植入後門，再找SWIFT帳密進行攻擊

-區塊鏈
-Smart Contract
-資安風險：交易所、Smart Contract 漏洞、盜取 private key
-金融電子化：駭客只要能控制資訊流，就能控制金流
-控制好權限（雙重認證）

加密貨幣交易所安全性評估

-當菜市場大媽開始買，代表市場即將出現危機
-自幹交易所
-交易所的安全
-錢包類似交易所，要買賣不同幣種要到交易所（類似證卷商）
-網站錢包：Coinbase、Bitoex （私鑰不在手上）
-Desktop 錢包：Electrum
-硬體錢包：Ledger、Trezor（亦曾有資安問題）
-法幣交易所：Bitopro（法幣互虛擬貨幣）（會有法遵問題）
-幣幣交易所：Poloniex
-場外交易所：類似拍賣網，雙方談好即可
-btc-e domain name 曾被 FBI 監管
-大家都會被 DDoS
-客服人員的資安意識
-傳統網站：internet-firewall-site-DB
-交易所：

-如何挑選交易所：不要貪、交易所是公司還個人、交易所所在國家、看客服、去Linkedin 找、有沒有 bug bounty
註：有被 hacked 過1次反而可以加分（會有警覺），超過太多次要扣分

-交易所有大量資安需求