議題觀點
《會計師看時事》 資安治理三部曲 打造FinTech防火牆
勤業眾信聯合會計師事務所風險諮詢服務 / 溫紹群資深副總經理
從2015年10月迄今,接連有各國銀行遭受網路攻擊,導致原本被認為安全無虞的支付電文系統遭駭客利用,國內亦有銀行ATM被國際駭客犯罪組織駭入盜領數千萬台幣事件,釀成可觀的金錢損失。
依據2015年世界經濟論壇的全球風險報告內容所述,每年因網路犯罪造成的經濟損失逾4,450億美元,已成為黑色產業供應鏈。
另根據調查,目前透過地下網路黑色產業鏈方式,駭客平均月入84,100美元,具備相當的犯罪誘因。
尤其在現今的金融體系的數位化浪潮下,傳統的資訊安全管理往往有諸多挑戰,包括缺乏預知與洞察能力,幾乎是在同一時間與諸多駭客同時知道自己的系統弱點;投資購買了不少的資安設備,卻對於駭客的攻擊起不了防禦作用。
資安防禦的需求在系統設計階段就未被考量;新科技導致資安管理的邊界改變,愈來愈多的資安風險是掌握在使用者與委外廠商的環境裡,以及企業的治理階層與資安管理人員的認知不一致,導致資安風險無法有效控管與改善。
在這資安威脅環伺的情狀之下,建議在發展金融科技(FinTech)的同時,應該從治理面、管理面、技術面等,考量新興科技行動應用、雲端與大數據分析應用風險調適,進行資安治理強化的策略三步驟:
首先,董事會應監督資安治理計劃與執行成效。近年來,各國均不約而同的談到董事會與管理階層在資訊安全管理上所應負擔的責任。
董事會與管理階層更可進一步將資訊安全管理納入公司治理架構,促使資訊安全管理成熟度達到管理階層對於金融科技經營與風險管理的期待,尤其是公司在數位化發展的同時,是否有同時評估到金融服務遷移雲端、大數據分析個資管理、行動應用App安全等風險。
接著,規劃網路安全危機管理機制。一邁入數位化企業 (Digital Enterprise)即要假設自身是處於被攻擊的標的與情境。
尤其,近年來網路攻擊事件頻傳,金融主管機關更要求應建立金融機構網路安全演練機制。
建議可以模擬資訊系統環境遭受攻擊情況為主,搭配數位證據蒐集及封存演練,模擬遭受攻擊成功後的系統進行證據蒐集、封存與初步分析等過程,以提升人員於駭客入侵應變及數位鑑識相關程序的熟稔程度與協調溝通能力。
並且應注意,網路安全危機管理,是橫跨業務、資訊、公關媒體之整合作業,因此,更須擬定完善的危機管理組織與計劃。
第三則是導入「區域聯防」的思維與進行資安威脅情資分析。
近期相關國家監管單位皆要求建立威脅情資機制,期望藉由威脅情資管理要求能加速金融單位情資交換及共享機制。
企業為能有效掌握內外部威脅情資.以達到「制敵機先」目的,建議企業需要由傳統、被動式單點資安訊息取得及防護,轉為積極主動防範機制,建立外部威脅情資蒐集與分析能力。
金融科技發展已是勢在必行的大趨勢,在這無限可能的金融科技生態系內,透過科技平台與技術的應用,均有無窮的商機。然而,無論是地域的擴大、客群的延伸、金融服務的創新、跨業結盟,都讓金融創新需與風險並存,而具備卓越的資安風險管理者,方能同時掌握商機與駕馭風險,這也是企業治理與經營管理階層需擔負的資安職責。