國內公股銀行核心系統30年沒更新還在用COBOL,不但維護人才難找、系統更難擋駭客攻擊

國內公股銀行核心系統30年沒更新還在用COBOL,不但維護人才難找、系統更難擋駭客攻擊

立法院數位國家促進會17日在立院召開記者會揭露公股銀行核心系統過舊,恐怕成為駭客下一個目標。公股銀行核心系統超過30年未更新,防護不易、維護成本高且難以增加新功能。這不只使公股銀行喪失許多商機、浪費公帑,更可能成為安全漏洞。而在獲利下降下更換新系統,卻會可能如同台灣壽險業,極易讓中國廠商低價得標,再次造成資安疑慮,產生更難以回頭的惡性循環。

立法院數位國家促進會會長余宛如表示,公股銀行的核心系統始於1982年財政部的計畫。當時多使用 IBM 等廠商的專屬、封閉式主機,當時的程式語言以 COBOL 撰寫,並採用 IBM、Unisys 等非開放性主機架構。據了解,每年公股銀行光要維護這些舊核心系統專屬主機,就要花上數億元的費用,而且另一方面懂 COBOL 與舊核心系統的人也越來越少。

由於環境封閉、獨立,無法更換其他廠商的主機,也無法和其他系統連結。這在金融高度數位化且業務百花齊放的時代,根本無法滿足新業務需求。只能在原本的系統上以外掛等方式嫁接不同的程式,讓原本已經很難以維護的系統,更加疊床架屋,不只營運成本上升,難度更高至幾乎不可能更新,成為惡性循環。

而更令人擔憂的是,這可能還只是公股銀行,甚至台灣相關政府單位面對的第一個惡性循環。系統的限制,讓公股銀行在推出新產品的速度往往遠輸給新型態金融公司或民營銀行。這樣的時間差將使公股銀行失去先機,競爭力下滑,甚至獲利下降,使得國庫收益減少。而獲利的減少,也將使公股銀行的營運經費降低,造成在選擇金融系統廠商時,使得中國廠商低價得標,形成第二層的惡性循環。
 
余宛如委員以台灣壽險業的案例舉例說明,台灣壽險業除了了國泰人壽外,在近三年陸續開始進行核心系統更新。此核心系統內包含了保戶們的各種高度隱私資訊,且往往以「戶」為單位做歸檔,重要程度可比戶政資訊。但由於壽險業近年表現不盡理想,且負債率甚高,各家往往不得不使中國廠商低價得標。兩岸關係敏感不說,中國資訊軟體產業與中國政府環環相扣,壽險業此舉無疑將台灣人民的資料,甚至國家金融資訊拱手相讓中國。
 
余宛如呼籲應盡快通過資訊安全法,提升公家機關資訊量能,並表示若此狀況也出現在銀行,甚至公股銀行,只怕中國將盡享台灣所有財務資訊。而金管會等有關單位也應該對壽險、銀行在採購資訊軟體一事上進行告知、督導之責,以避免國家安全缺了了一角。
 
即便彼時遠在澎湖,行政院長賴清德在10月7日即對遠東國際商業銀行被駭一事表示,相關單位應該就此事儘速處理,並且檢討資訊安全。立法院數位國家促進會相信賴院長必將以此為鑑,並加速協助資訊安全的推動,以達到蔡總統在9月29日所提出的「資安及國安」。
Hsuann
作者

T客邦特約編輯 ,負責產業即時報導、資訊整理

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則