議題觀點
《風險諮詢服務篇》掌握風險脈動 引領產業先機
勤業眾信風險諮詢服務 / 吳佳翰營運長
面對政經情勢變化日益劇烈、美中貿易紛爭持續升溫,加之新興科技應用趨勢加速擴散,企業針對未知的挑戰及變數,需即時掌握風險脈動,並靈活應變,以引領產業先機,方能在變局中站穩腳步。展望2019年,智慧城市發展、物聯網數位安全策略、數位安全攻防關鍵能力、智財戰略布局、金融犯罪風險管理趨勢等重要議題及相關應用持續發酵,勤業眾信提供前瞻智識及策略分析,協助企業辨識潛在風險,再造新猷!
智慧城市市場持續成長
國際數據資訊(IDC)於2018年8月公布全球智慧城市支出半年報,預期2019年亞太地區支出總額將超過300億美元,各國政府接下來將會加速投資智慧城市建設,於2022年預估支出將達544億美元。勤業眾信展望2019年智慧城市發展,可持續期待5G、邊緣運算、巨量資料分析及AI幾項議題於智慧城市架構下有持續的成長及發展。
2020年即將上線的5G以及邊緣運算將成為智慧城市中重要的資通訊技術,並可升級或激發出更多元的智慧城市應用。而2019年也會是電信業者布局最重要的一年,在5G於2020年正式上線後,無人載具應用、自駕車、車聯網、救災、城市安防及監控、娛樂產業等領域,皆會隨著5G的到來有更完整的後盾。電信業者應跳脫過往以販售門號為主要營利方式的作法,以跨業整合領頭羊的轉變方式,才可以為智慧城市發展出完整且較低使用成本的智慧應用。
若資料為智慧城市的核心,資通訊技術為四肢,那AI領域就是智慧城市的大腦。2020年隨著5G正式上線,預估將有75%的商業行為將轉換為數位商業行為,資料的複雜度也會以等比級數方式躍進,AI技術隨著新型演算法的突破,運算能力將得到進一步的提升,企業應思考如何有效整合內外部資料,並由過去個人運算導向進化為感知運算導向的年代。
在政府積極發展智慧城市的趨勢下,建議規劃上應聚焦於以「數據導向」、「市民為中心」以及「可持續性商業模式」三大主軸,並考量隱私保護、資訊安全與法規遵循等議題。首先,以數據導向而言,智慧城市的標竿國家,皆視資料分析為智慧城市的基礎,以解決城市的需求與問題,包含在環境改善、預防犯罪、妥善分配資源等面向,透過整合性數據平台,結合AI預測分析與決策,數據導向使城市治理變得更聰明。再者,以市民為中心而言,智慧城市係以市民需求為中心,透過「設計思考」方法,定義市民的需求與痛點,並透過導入智慧應用設施,提升服務體驗、逐步聚焦解決方案。最後,談到可持續性商業模式,智慧城市很重要的是強化產官學研協作,共同驅動智慧城市發展。智慧應用的導入從概念驗證到發展創新商業模式,最後很重要的是能轉化為落地且長期營運的商業模式。
智慧城市未來發展應由整體策略與藍圖進行規劃,並透過專案管理辦公室進行公私領域協同合作規劃與推動,同時充分整合各方資料來擬定策略及修正發展方向,並可將成功模式輸出、創造新商機。
物聯網數位安全策略強化
隨著行動裝置與無線基礎設施的普及與發展,在感測技術、無線通訊、雲端運算和數據分析等科技的結合下,正式宣告物聯網(Internet of Things, IoT)時代的來臨,讓萬物互聯的概念成真。物聯網串起了人與物件互動的管道,達到實踐數位化的目標。
各式貼近日常生活的應用場景已於數位虛擬世界與現實環境有效整合。物聯網經過了這幾年的發展,各應用場景所帶來的商業價值也得到了越來越多使用者的認可,目前在智慧運輸、智慧安防、智慧能量管理、智慧建築、智慧醫療、智慧教育、智慧金融、智慧旅遊、智慧零售、智慧製造及智慧政府等多個領域應用,已造成許多破壞式創新的實例,也實際提升了您我日常生活的便利性。與此同時,卻也悄悄開啟了駭客攻擊的大門,藉此入侵企業及家庭網路竊取敏感性資料,或操控設備來發動大規模的分散式阻斷服務攻擊,使得物聯網設備不知不覺成了資安犯罪的幫兇,這也是企業所必須正視的議題。
有鑑於全球物聯網資安事件頻傳,面對萬物皆可駭的時代,國內正致力推行物聯網設備資安產業標準,以建立我國物聯網設備之資安防護能量,促進國內產業整體優質化,確保消費者使用物聯網設備之資訊安全。除了藉國家之力推動物聯網設備資安產業標準外,製造商應於設備元件研發過程中,將資安需求納入開發規畫,並強化數位空間隱私保護與資安法規革命性翻新之因應,以達到符合安全性的設計理念(Security by design),同時應讓設備製造商,系統服務商與系統整合商在設備採用方面均有一安全標準,以持續強化整體產業之資訊安全。
物聯網應用場景已與過往傳統資訊服務架構有顯著性差異,一般的資安管理機制須進行強化及調整,於企業規劃應用物聯網智慧化時,必須兼顧「縱向與橫向」之資安策略。首先,企業應「縱向」追溯、建立平台,並打造基礎建設的安全框架;而後應進行「橫向」管理,掌握跨領域整合資訊服務所產生的風險,「雙管齊下」打造全方位物聯網數位安全策略。
數位安全攻防關鍵能力提升
近來全球重大資安事件頻傳,從誤中勒索病毒而影響企業營運與收入,到被駭客集團潛伏盜轉大筆金額,再再顯示企業對資訊安全防護的無力感。這樣的結果雖然是因為組織的資訊安全人員沒有及時發現資安攻擊的徵兆所造成,但細究其原因,現有資訊安全人員忙於日常維運,缺乏對各式駭客攻擊手法的深入瞭解,更是一道亟需補強之重要根本環節。整體性的持續防禦流程(continuous threat protection process)比預防駭客的攻擊更重要,如何培養適格的資安專業人員,以在最快的時間內發現並排除具威脅性的網路攻擊將是組織能否正常運行的關鍵。
總統蔡英文在2016年即揭示「資安即國安」的戰略,擬定建立國家級資安團隊之目標,資通安全管理法亦將資通安全專業人才之培育設為推動重點項目,金管會更修法要求金融機構設置資訊安全專責單位與資訊安全專責主管,處處可見培養資安人才的重要性。然而,培養資安人才的方式,除了學界少數的資安學程,坊間資訊教育訓練機構提供的資安技術證照或國際標準認證課程,雖然能提供系統化的資安知識,但缺乏產業實務經驗;企業及組織內部即便透過宣導式的訓練提升資安意識,但無法確切讓員工感受真實資安威脅或攻擊時的情境。
為了培養具備資安實務經驗的專業人員,近兩年興起著重網路實戰攻防的網路靶場訓練模式,其跳脫傳統的單向式授課模式及以取得證照為主的學習方式,側重在讓學員能經由擬真的資訊系統網路運作瞭解與分析網路戰情,透過實機實際操作,讓學員體驗與嘗試解決網路危機。
勤業眾信結合網路靶場訓練模式及多年來累積的產業資訊安全需求相關實務經驗為基礎,輔以Deloitte全球龐大的資安訓練資源,規劃符合產業及客戶所需的數位安全攻防與訓練實務課程(Cyber Ranger School)。資安人員藉此訓練平台,將會學習到駭客攻擊能力及思維、系統安全環境建置、攻擊事件調查及分析等技能,再從攻擊者的思維轉向為防禦時的強化面向,可識別資訊系統的弱點並進行實作修復及強化其脆弱性,並持續監控系統環境,從基礎到進階,提升相對應之資安管理、決策、分析與實務能力。
智財戰略布局洞悉
中美貿易戰如火如荼展開,由於美國高舉單邊主義和貿易保護主義的大旗,企業必須更加致力於自主研發以取得先進科技和關鍵技術。伴隨著數位經濟、智慧經濟、綠色經濟、創意經濟形塑成新經濟產業生態圈崛起,針對國際經濟情勢發展與新興科技應用趨勢,諸多企業以創新產品、技術或數位化工具及機制架構進行數位化創新或轉型,於數位創新轉型的過程中,衍生出的智財風險更不容忽視,企業對於智財戰略的擬定更是影響勝敗的關鍵。未來智財戰略必須涵括從研發創新起始到智財運用的全部過程,包括智財創新戰略、智財取得與保護戰略以及智財運營戰略,並且是滾動性的智財管理戰略,因應國內外形勢變化以及前期戰略執行的成效進行滾動式的檢討與調整。
智財創新戰略首先最重要的是建立企業有效的創新激勵制度,鼓勵創新研發,以使研發成果能有效運用並內化成知識資產。接著必須針對智財進行有效布局規畫,智財權包括:專利、商標、著作權及營業秘密等,保護的方式必須根據智財形成方式、產業特性與市場趨勢而有不同保護模式。
而對於智財權的取得與保護,則必須搭配未來產銷模式出發,特別是目前國內產業進入數位轉型升級的關鍵期,應該要取得具有實用性、進步性的智財權利,善用多元的智財保護模式;另一方面從供應鏈的調整同時考量智財權屬地主義的原則進行布局,為了迅速取得市場先機,可透過美國臨時申請案(Provisional Application)及國際優先權制度,於符合專利先申請主義原則下,藉此有效調配申請時間以及控制預算,甚或利用《專利合作條約(Patent Cooperation Treaty, PCT)》審慎評估市場未來趨勢,進而延長進行各國申請案件布局的時間(自優先權日起約30個月),有效掌握即時的商機。
在運營管理戰略方面,一方面要強化內部組織的智財管理能力,包括:智財行政管理、智財資訊風險排查管理以及智財預警管理的能力等;另一方面要開創多元創新的運用模式,包括授權、智財交易、智財貨幣化等,特別要留意智財交易過程中的智財盡職查核(IP Due Diligence),智慧財產權或技術know-how的清點及可專利性評估,找出可能存在的問題與風險。
金融犯罪風險管理趨勢展望
近期隨著全球制裁議題與共同打擊金融犯罪趨勢,臺灣在2018年11月接受亞太防制洗錢組織(APG)第三輪相互評鑑的準備過程中,也獲得許多的寶貴經驗,並培訓許多專業人才。此外,針對未來的金融犯罪風險管理趨勢,勤業眾信提供下列四策略方向:
從防制洗錢邁向更廣泛的打擊金融犯罪:實質的金融營運活動,所面臨的金融犯罪風險不僅有洗錢風險、資恐風險,並包含金融詐欺、貪腐賄賂、金融內部舞弊、稅務犯罪、內線交易或武器擴散等眾多風險議題,綜觀我國在過去的努力下,已於洗錢與資恐的風險管理上奠定良好基礎,包含人員層面、流程層面、技術層面都有一定的成熟度,接下來在新年度,需要運用既有基礎,擴增打擊金融犯罪的面向,包含須配合共同申報準則(Common Reporting Standard, CRS)的導入,對於特定客群應強化在稅務犯罪的監控力道,並同時與既有的KYC管控活動進行整合。
強化以風險為導向的管控模式:明確的辨識與管理風險,一直是這幾年金融業的重要課題。過去我們習慣規則式的恪遵法令法規,但是對於自身實際面對的金融犯罪風險卻是多以較傳統的方式正面列舉風險,而忽略從複合性的觀點思考風險,例如,有哪些高風險客戶經常利用高風險產品進行頻繁交易?高風險產品在傳統交易通路與網路交易通路上,所面對的金融犯罪模式亦有不同,我們如何明確辨識?建立一個從客戶、產品、交易模式等角度,以360度的概念動態辨識金融犯罪風險熱區後,再配置適當資源進行風險抵減。先強化對於金融犯罪的風險辨識與分析模型,如同在茫茫大海中透過航海士指引,能夠有明確方向。
結合FinTech打擊金融犯罪:在2019年度,會有更多的金融科技與金融創新模式持續發生,包含純網銀的誕生、人工智慧與機器學習、區塊鏈更落地的運用場景等,眾多金融機構也加入金融創新的競賽之中,但作為讓大眾所信賴的金融產業,在發展新興金融模式的同時,如何杜絕所衍生的新興金融犯罪模式,亦是值得注意的議題;此外,利用新興科技強化金融機構對於金融犯罪的監控,包含利用人工智慧與經過設計的演算法監控可疑的金融犯罪活動或可疑交易對象,亦是預期可以開花結果的一年。
建立具有彈性的組織管理模式:眾多金融機構已具備防制洗錢與打擊資恐專責單位或專責人員,也喚起高階管理階層對於相關議題的關注程度,在新年度中,如何有效的運用現行資源,持續提高對於防制洗錢與打擊資恐的落實程度,同時開展對於金融犯罪議題的協防活動,也是新年度金融機構需要思考的重點之一,對於有足夠資源的金融業者,在採取總公司集中管控的同時,需要擴展專責單位對於金融犯罪的認知程度與專業分工技能;針對資源較少的金融業者,則需要結合業務執行單位、法令遵循單位、風險管理單位與內部稽核單位,才能收事半功倍之效。
在2019年,金融業者將更朝向對於金融犯罪風險的實質管控,也期待金融業者、金融主管機關、金融情報機構能夠更相輔相成,共同扮演好打擊金融犯罪的「鐵三角」,持續開創臺灣在國際金融地位的美好名聲。