全球資安管理震撼教育 催生資安聯防意識

【2017／06／01，台北訊】近來國內外金融業資安事件頻傳，除孟加拉央行遭遇史上最大盜領案，台灣亦發生ATM盜領事件、證券業受DDoS阻斷服務攻擊，今年五月勒索軟體” WannaCry” 肆虐全球，資安防線遭攻破，使政治、金融、醫療與教育等生活各層面深受影響。有鑑於此，勤業眾信聯合會計師事務所與電腦稽核協會，今（1）共同舉辦「金融業資安聯防論壇」，邀請行政院資通安全處、金融監督管理委員會及美國金融服務資訊共用和分析中心專家群，共同探討我國金融資安聯防策略，協助建構資安情資管理與事件應變策略。

勤業眾信風險管理諮詢公司董事長陳清祥致詞表示，全球資安攻擊事件雖層出不窮，但都非針對特定產業攻擊的單一個案。目前，國際駭客組織透過專業分工，形成巨大的「黑色經濟」惡勢力，透過網路攻擊手法「快速淘金」，已為金融業上了一場震撼教育。而面對難以預測的資安威脅，提高資安策略層級，以凝聚產業眾力聯合防禦，是強化資安韌性的不二法則。

以亞太金融重鎮新加坡為例，新加坡金融管理局（MAS）為鞏固金融業資安，在2016年與美國非營利組織「金融服務資訊共用和分析中心」（Financial Services Information Sharing and Analysis Center, FS-ISAC）共同合作，成立「亞太區域情報與分析中心」（Asia Pacific Regional Intelligence and Analysis Centre），針對金融業網路資安威脅，提供分析和建議因應策略。

我國政府為提升金融業資安防護能量，最快今年上半年建置「金融資安中心」（F-ISAC），結合電信、金融、資安軟體業，從國家安全層級建立金融資安聯防機制。陳清祥表示，化「被動防護」為「主動防禦」的資安管理，才能掌握風險管理的即時性和有效性。

新金融新風險 資安防駭再升級

行政院資通安全處處長簡宏偉分享「資通安全政策推動說明」時指出，在新興科技與產業樣態迅速發展轉變下，資安議題不斷擴大影響範圍。政府在推動資通安全政策時，將以快速切合各產業發展需求為目標，以因應新興科技帶來的資安威脅。

目前，我國政府積極訂立「資通安全管理法」等法規，期望為發展數位國家與創新經濟奠定基礎。簡宏偉表示，政府長期推動資安管理機制，藉由制定資安管理法，希望將資安管理經驗傳承給民間。

他指出，目前發生許多駭客攻擊企業委外廠商的案件，駭客透過入侵外部廠商系統，置入惡意程式，一旦程式執行更新作業，即會自動帶入病毒產生傷害。因此，簡宏偉提醒企業須格外加強委外服務之資安管理。

此外，簡宏偉表示資安難以百分百防護，最大的風險來源是「人」和「使用行為」，建議企業加強通報機制，以利政府與主管機關了解影響範圍有，以即早處置將傷害降到最低。

金管會資訊服務處處長蔡福隆指出，在數位化、互連網、行動化與大數據等「新金融」模式發展下，企業應強化資安防禦縱深，以因應「新風險」時代。企業除了應培養重視資安管理的文化，建立資訊部門、資安專責單位與稽核單位三道防線，亦為落實資安管理的基本功夫。

此外，蔡福隆由「國際金融監理法規發展趨勢」切入，說明金融資安中心對金融資安生態圈發展的影響。他指出，國際間美國、歐盟、英國、日本、韓國和荷蘭皆設有金融資安主導機構，我國政府也積極籌畫「金融資安資訊分享與分析中心」，預期發揮「預警通報、情資研判、資安訊息分享、漏洞評估、研討交流、應變協助、專題研究、資安演練與規範評估」等九大功能。

美國金融服務資訊共用和分析中心（FS-ISAC）Asia Director Robert POH，與會分享FS-ISAC在新加坡的運作機制。他指出，從國際視野深入台灣金融業，借鏡FS-ISAC於新加坡的實際經驗，將可協助金融業加速建立資安聯防機制，助我國金融資安中心發展一臂之力。

與風險共存 建立資安聯防機制

勤業眾信風險管理諮詢公司協理林彥良表示，過去金融業依靠單點式資安防護機制，但隨著資訊技術和網路依賴性提升，不僅資訊安全攻擊手法愈趨複雜，顯露的資安風險也隨之增加，資安管理不夠與時俱進，不僅耗費時間與資源，防衛成效亦有限。建議企業應結合各界力量，並分析亞太區金融網路安全情勢，推動亞太區網路安全計畫，以發揮最大綜效。

隨著科技技術導入或營運模式改變，金融業業務發展和應用重點將隨之調整，林彥良指出，「儘管如此，不變的是，在規畫新服務或產品時，納入資安管理思維絕對是必要條件」。因此，他建議金融業在規畫業務內容的初期，應邀集資安、法遵人員共同評估是否准入與許可。此外，亦可更進一步參考相關威脅情資，分析可能面臨的資安威脅，並定期實施360度數位風險分析，持續評估與追蹤風險。

富邦金控創新科技辦公室副總經理李相臣指出，在金融科技（FinTech）等技術帶動的破壞式數位金融發展下，網路資訊安全將是影響消費者採用的重要考量。因此，當科技改變傳統金融業營運型態，企業應思考如何與風險共存，並適當調整管理策略，以平衡資安與業務發展間的衝突。

行政院國家資通安全會報技術服務中心主任吳啟文，分享聯防監控經驗時指出，隨著駭客攻擊手法不斷演進，政府機關、軟體甚或服務供應商都可能受害。一旦企業遭受駭客攻擊，不僅破壞客戶信任價值鏈，更可能危及整體網路運作。因此，吳啟文提醒企業，透過引進民間優質資安能量，與政府合建資安聯防體系，將有效防範新型態的網路攻擊。此外，他指出，除了傳統的監控資訊外，金融業必須要統整須加強關注的情資，以建立早期預警機制，降低零時差攻擊帶來的威脅。