當銀行系統「沒有被駭」卻仍然失效：從國泰世華當機事件，看資安定義的轉變與營運韌性的挑戰

文／劉虹君 Gigi Liu
企業韌性與資安架構顧問

2026 年 4 月，國內大型銀行網銀與行動 App 發生長時間服務異常。
用戶無法登入、餘額查詢失敗、轉帳延遲，影響持續數小時，並引發監管單位介入。

初步資訊顯示，事件與負載平衡設備資源耗盡有關，並未出現外部入侵或資料外洩跡象。

這樣的事件，往往會引出一個直覺問題：這算不算資安事件？

一、當「沒有被駭」卻仍然失效

如果以傳統觀點來看，資安事件通常意味著：

系統被入侵
資料被竊取
或遭惡意攻擊

然而，本次事件並不符合上述特徵。

從使用者角度來看，結果是：

無法登入
無法確認資產
無法完成交易

系統仍在運作，但服務卻無法使用。

這種「表面正常、實質失效」的狀態，正是現代數位系統中最具挑戰性的風險型態之一。

二、從全球事件對照來看：這不是單一事件，而是結構性問題

類似的情境，其實早在全球多次發生。

1. 雲端服務中斷（AWS）

過去數年，AWS 多次區域性當機，導致：

串流平台停擺
電商與物流中斷
金融服務延遲

同樣的，這些事件中：

沒有駭客入侵
沒有資料外洩
但整個數位服務受到影響

後續評論大都指出：
問題不在於是否上雲，而是在於過度集中所帶來的系統性風險。

2. Meta（Facebook）全球當機事件（2021）

在一次內部網路配置的錯誤，導致：

Facebook、Instagram、WhatsApp 全面中斷約 6 小時

事件關鍵在於：

並非外部攻擊
而是內部系統配置失當

但影響卻是全球性的。

許多評論以一句話總結：

系統不需要被駭，也可以自行崩潰。

3. 金融業案例（TSB Bank, 英國）

其系統轉換失敗而導致：

數百萬客戶無法使用銀行服務
部分用戶甚至看到他人帳戶資料

監管機構最終認定：

這不只是 IT 問題
而是營運治理與風險控管問題

以上這些案例在在顯示：
問題並非單一系統失誤，而是現代架構中普遍存在的脆弱性。

三、資安定義的轉變：從「防入侵」到「可持續運作」

傳統資安長期聚焦在兩件事：

防止未授權存取（Confidentiality）
確保資料未被竄改（Integrity）

然而，在高度數位化的環境中，第三個面向逐漸成為核心：

可用性（Availability）

這也帶來一個關鍵定義轉變：

過去我們將資安定義為「防止入侵」，但在現代系統中，無法提供服務，本身就是一種資安風險。

當使用者無法使用服務時，
對企業而言，影響的不只是系統，而是營運能力、客戶信任與市場穩定。

四、幾個可能的技術情境（在不預設且客觀結論上）

在尚未有完整調查報告前，可以從架構角度理解幾種常見情境：

情境一：流量超出容量設計

短時間流量暴增
系統未具備足夠彈性擴展能力

導致負載設備成為瓶頸。
在本質上是容量規劃與彈性不足。

情境二：系統內部行為異常，例如 retry 機制失控、API 呼叫放大、服務之間形成回圈，導致「自我放大」的流量壓力。
這代表系統行為失控，而非外部攻擊。

情境三：局部故障引發連鎖效應

節點失效
負載分配失衡
failover 機制未正常運作

最終演變為整體服務異常。
（單點風險被放大）

情境四：介於正常與攻擊之間的流量

非惡意但高頻請求
API 濫用
低強度攻擊或爬蟲行為

這類流量難以在第一時間區分，屬於營運與資安的灰色地帶。

五、為何監管機構高度關注

即使沒有入侵，金融監管仍會將此類事件列為重大風險，原因在於：

1. 金融服務的關鍵性
支付與資金流動高度依賴即時系統。

2. 信任機制的敏感性
短時間的不可用，就可能影響客戶信心。

3. 系統性風險
單一機構的中斷，可能影響整體市場運作。

因此，國際監管機構（如英國 FCA）近年持續強調一個概念：

Operational Resilience（營運韌性）

也就是：系統不一定不會出錯，但必須在出錯時，仍能維持關鍵服務。

六、從可用性到韌性：問題的核心轉移

這起事件反映的不只是設備負載問題，而是更深層的設計議題：

是否存在流量集中
是否存在隱性單點
是否具備分散承載能力

在許多傳統架構中：

效率來自集中
但風險也來自集中

當壓力超過臨界點時，
局部問題可能迅速演變為整體失效。

總之，當系統失效，不一定需要駭客。

這類事件提供了一個值得重新思考的視角：
問題不只是「如何防止攻擊」，而是當沒有攻擊時，系統是否仍然可靠。

在數位環境中，最大的風險不一定來自外部，可能來自系統本身的設計與依賴關係。

最終，企業需要回答的問題或許不是：

系統會不會出錯

而是：

當系統出錯時，我們是否仍能維持核心能力。