議題觀點
建立良好的「網路衛生」習慣-從新加坡網路衛生通函之重點與挑戰談起
勤業眾信風險管理諮詢 (股) 公司 / 曾韵執行副總經理、顧佩宜專案協理
在數位化的浪潮下,金融機構皆透過技術創新與更多數位應用進行轉型。也因為數位化的議題與網際網路的普及,甚而今我們都已處於萬物皆聯網的時代,網路無所不在所帶來的便利性,讓金融機構得以藉此建構及實踐普惠金融,另一方面也讓金融業務在資料傳輸的過程中,面臨外在安全威脅的風險。為了積極因應這樣的趨勢,新加坡金融管理局(MAS)於2019年8月6日正式發佈一系列的網路衛生通函(Notice on Cyber Hygiene),成為世界第一個以法令強制力推行金融業網路衛生的國家。該通函將於2020年8月6日正式生效;其中對於多因子驗證(Multi-factor Authentication)的要求,在符合特定條件下,可再將期限延長至2021年2月5日。在新加坡經營金融業務的當地或外國機構應了解監理機關所設立的標準及指導,儘快檢視相關管理措施,以強化網路攻擊的抵禦並符合法令規範。
網路衛生是由有著「網際網路之父」之譽的美國學者Vinton Cerf所提出的概念,在既有的網路安全管理上,更強調主動採取防衛措施,以預防資訊系統透過網路可能遭受的各種威脅事件。如同個人的衛生環境,每個人需要保持良好的衛生習慣來維持自身健康,免受疾病的侵襲;網路衛生則由各個機構實施健全的保護措施來確保資料的安全防護,維護服務可正常運行。除了日常管理的機制建立與落實外,更應定期執行如同健康檢查的評估或審查作業。新加坡金管局正是期望透過強化各個新加坡金融機構的網路衛生,增加終端使用者對於當地金融服務的信心,並建構安全的金融網路環境。該通函之遵循重點包含以下:
一、管理帳號:通函要求機構針對內部系統及基礎架構的管理帳號,控管其權限授予並實施預防性控制。
二、安全修補程式:因應威脅手法的推陳出新,本次加深系統安全弱點與漏洞的管理機制及修補時程的要求。
三、安全標準:機構應訂定所有系統的安全設定標準,並定期檢視安全設定,以確保所有系統的安全設定妥適、且未受到篡改。
四、網路邊界防禦:網路整體架構的設計應能良好防禦外部的安全威脅,並限制所有對內或對外未經授權的存取。
五、惡意軟體防護:所有系統皆應實施惡意軟體防護措施。
六、多因子驗證:通函擴大了要求的實施範圍,明文要求應執行多因子身分驗證的帳號類型。
整體而言,本次新加坡所制訂的網路衛生通函對當地金融機構造成不小的衝擊。建議在新加坡經營金融業務的當地或外國機構,應以風險為基礎,聚焦於資訊科技環境的帳號安全、身分驗證、系統安全、網路架構,全面重新檢視各項機制。不但要盤點出所有系統及設備,確認每一項要求的適用範圍,接著補強既有的管理要求,並定期監控管理現況;此外,更要對無法達成的要求進行風險評估並制定因應措施,持續改善內部網路安全與衛生管理能力,方能抵禦越來越複雜的網路攻擊型態,並與現今監理趨勢校準。台灣金融業者亦可預先借鑒,建立機構內部對於網路衛生的認知,檢視自身各項管控措施的合適性及安全性,在提供客戶更便利服務的同時,也搭配更安全的金融網路環境,以於全球化及數位化的趨勢下持續提升自身的金融競爭力。
(本文已刊登於 2019-10-03 工商時報 A6 名家評論版)