議題觀點
資安防護最前線-金融科技資訊安全風險治理探討
勤業眾信風險管理諮詢 (股) 公司 / 吳佳翰執行副總經理、林彥良協理、廖柏侖經理
隨著科技的發展日新月異,金融產業面臨新科技導入衝擊及創新服務模式挑戰,各業務領域的數位轉型已是大勢所趨,金融產業面臨新科技導入伴隨而來各種複雜效應,也不斷挑戰風險管理的思維、作法與管理模式。因應數位時代下的金融科技的快速發展態勢,金融業者須覺察未來監理重點、配合業務需求同步設計資訊安全舉措,並有效調適風險管理機制,結合其過去管理成熟之優勢,主動積極發展金融創新。
對於金融機構而言,金融科技透過提高數位化能力改善客戶體驗、增強客戶關係,進而建構新興服務模式。然而,金融產業亦面臨了新科技導入伴隨而來各種複雜效應,包含對於風險管理的思維、作法與管理模式之挑戰。金融科技在虛實整合發展愈快速,法規遵循與治理風險控管即愈形重要,諸如金融犯罪 (涵括洗錢、資恐、詐欺、偽冒交易、吸金、重利)、網絡安全、與以客戶為導向,保護消費者權益和資料、以及在新技術與新支付方式下的資訊安全風險。
金融犯罪防法與風險管理
近年來面對金融機構以各類資訊科技應用在各自業務領域之發展,促使金融監理規範必須具備因應金融與科技環境持續改善的應變能力,以因應科技發展狀態提昇資訊安全風險監理水準。同時,為防制金融犯罪議題不斷延燒,利用資訊科技有效地提升防治金融犯罪的執行效率漸成一門顯學,其要點包含管制名單過濾 (比對管制黑名單、負面新聞資料庫及高敏感政治人物名單等資料庫)、風險導向的客戶風險評估及可疑交易監控 (自動化的交易監視系統篩選出可疑交易或偽冒交易,定期檢討並明確區分審核、調查覆核及報告之責任歸屬)。除此之外,金融犯罪防制制度也需要人員、程序與科技三者彼此相輔相成,缺一不可。
隨著新興科技的崛起、法規環境的轉變,商業模式和客戶體驗不斷地演化與創新,金融科技發展所面臨的風險管理議題,包含策略風險、營運風險、網路安全與資料風險、作業與財務風險等各個面向,都將更加複雜、多元且艱鉅,因此,數位金融時代下金融機構的風險治理將從單點管理走向整合性價值鏈生態圈治理。運用法遵科技,亦即RegTech (Regulation Technology) 強化風險管理或為解決之道。例如企業佈建資料風險分析平臺應用藍圖,針對企業內部 (資訊安全、資料保護、內控迴圈) 及外部 (競爭者資訊、協力廠商資料、以及開放資料),從單一領域深度分析進展至跨領域的綜合分析,同時建置有效的異常存取規則 (人、事、時、地、物),藉由網路威脅情資分析平臺,自動蒐集外部威脅資訊,整合內部情資,產出資安趨勢及風險分析報告,並針對稽核軌跡進行主動管理,賦予數據應用嶄新視野,強化數據分析於風險管理的地位。
金融科技發展下的資訊安全風險
此外,金融科技數位化之發展面對蓬勃的駭客經濟的極大衝擊與威脅,從2015年10月迄今,接連有各國銀行遭受網路攻擊,導致原本被認為安全無虞的支付電文系統遭駭客利用,國內亦有銀行ATM被國際駭客犯罪組織駭入盜領數千萬台幣事件,釀成可觀的金錢損失。依據2015年世界經濟論壇的全球風險報告內容所述,每年因網路犯罪造成的經濟損失逾4,450億美元,已成為黑色產業供應鏈,金融科技對於駭客具備相當的犯罪誘因。
Gartner於2014年2月提出「預防無用論」(Perfect prevention is impossible),表示企業無法有效成功阻止針對性攻擊的入侵,強調企業應永遠假設自身正受攻擊,故整體性的持續防禦流程 (continuous threat protection process) 比預防駭客的攻擊更重要。傳統資訊安全管理正面臨了安全問題「不可見、不可控、不可管」三重挑戰,隨著資訊科技的快速變化,金融科技快速改變金融業的生態的同時,網路威脅與風險亦不斷變化,金融機構的資訊安全防護規範與措施必須持續改善才不會因科技發展過時。
在這資安危脅環伺的情狀之下,金融機媾在發展金融科技的同時,應該從治理面、管理面、技術面等,進行以下資安治理強化措施:
- 將資訊安全管理納入公司治理架構,促使管理階層建立企業資訊安全管理願景、風險胃納以及整體策略方向。
- 新興科技之採用應進行完整之安全評估,以確保可具體風險與既有控制成熟度,並擬訂資訊安全控制計畫。
- 以「風險管理」之角度推行資訊安全控管,定期自我評估資訊安全管理能力,並透過持續優化,形成持續改善與強化之管理循環。
- 建立金融大數據安全管理措施,藉由數據預測分析即時掌握風險,提昇整體業務發展之同時,達到業務與資安控管平衡發展之產業態勢。
- 強化資安事件應變與數位鑑識能力,建立資安事件通報程序與應變計畫,並以資訊安全防駭演練提昇內部人員面臨突發狀況之應變與與協調溝通之能力,避免或降低資訊安全事件帶來的損害。
- 建立資安威脅情資分析與預警機制,透過資安情報的即時分享,提供所需的即時與歷史資訊安全事件資料、報表、及相關情報,協助組織執行資安管理活動。