新聞稿
全球資安管理震撼教育 催生資安聯防意識
勤業眾信:化被動防護為主動防禦 凝聚眾力強化資安韌性
【2017/06/01,台北訊】近來國內外金融業資安事件頻傳,除孟加拉央行遭遇史上最大盜領案,台灣亦發生ATM盜領事件、證券業受DDoS阻斷服務攻擊,今年五月勒索軟體” WannaCry” 肆虐全球,資安防線遭攻破,使政治、金融、醫療與教育等生活各層面深受影響。有鑑於此,勤業眾信聯合會計師事務所與電腦稽核協會,今(1)共同舉辦「金融業資安聯防論壇」,邀請行政院資通安全處、金融監督管理委員會及美國金融服務資訊共用和分析中心專家群,共同探討我國金融資安聯防策略,協助建構資安情資管理與事件應變策略。
勤業眾信風險管理諮詢公司董事長陳清祥致詞表示,全球資安攻擊事件雖層出不窮,但都非針對特定產業攻擊的單一個案。目前,國際駭客組織透過專業分工,形成巨大的「黑色經濟」惡勢力,透過網路攻擊手法「快速淘金」,已為金融業上了一場震撼教育。而面對難以預測的資安威脅,提高資安策略層級,以凝聚產業眾力聯合防禦,是強化資安韌性的不二法則。
以亞太金融重鎮新加坡為例,新加坡金融管理局(MAS)為鞏固金融業資安,在2016年與美國非營利組織「金融服務資訊共用和分析中心」(Financial Services Information Sharing and Analysis Center, FS-ISAC)共同合作,成立「亞太區域情報與分析中心」(Asia Pacific Regional Intelligence and Analysis Centre),針對金融業網路資安威脅,提供分析和建議因應策略。
我國政府為提升金融業資安防護能量,最快今年上半年建置「金融資安中心」(F-ISAC),結合電信、金融、資安軟體業,從國家安全層級建立金融資安聯防機制。陳清祥表示,化「被動防護」為「主動防禦」的資安管理,才能掌握風險管理的即時性和有效性。
新金融新風險 資安防駭再升級
行政院資通安全處處長簡宏偉分享「資通安全政策推動說明」時指出,在新興科技與產業樣態迅速發展轉變下,資安議題不斷擴大影響範圍。政府在推動資通安全政策時,將以快速切合各產業發展需求為目標,以因應新興科技帶來的資安威脅。
目前,我國政府積極訂立「資通安全管理法」等法規,期望為發展數位國家與創新經濟奠定基礎。簡宏偉表示,政府長期推動資安管理機制,藉由制定資安管理法,希望將資安管理經驗傳承給民間。
他指出,目前發生許多駭客攻擊企業委外廠商的案件,駭客透過入侵外部廠商系統,置入惡意程式,一旦程式執行更新作業,即會自動帶入病毒產生傷害。因此,簡宏偉提醒企業須格外加強委外服務之資安管理。
此外,簡宏偉表示資安難以百分百防護,最大的風險來源是「人」和「使用行為」,建議企業加強通報機制,以利政府與主管機關了解影響範圍有,以即早處置將傷害降到最低。
金管會資訊服務處處長蔡福隆指出,在數位化、互連網、行動化與大數據等「新金融」模式發展下,企業應強化資安防禦縱深,以因應「新風險」時代。企業除了應培養重視資安管理的文化,建立資訊部門、資安專責單位與稽核單位三道防線,亦為落實資安管理的基本功夫。
此外,蔡福隆由「國際金融監理法規發展趨勢」切入,說明金融資安中心對金融資安生態圈發展的影響。他指出,國際間美國、歐盟、英國、日本、韓國和荷蘭皆設有金融資安主導機構,我國政府也積極籌畫「金融資安資訊分享與分析中心」,預期發揮「預警通報、情資研判、資安訊息分享、漏洞評估、研討交流、應變協助、專題研究、資安演練與規範評估」等九大功能。
美國金融服務資訊共用和分析中心(FS-ISAC)Asia Director Robert POH,與會分享FS-ISAC在新加坡的運作機制。他指出,從國際視野深入台灣金融業,借鏡FS-ISAC於新加坡的實際經驗,將可協助金融業加速建立資安聯防機制,助我國金融資安中心發展一臂之力。
與風險共存 建立資安聯防機制
勤業眾信風險管理諮詢公司協理林彥良表示,過去金融業依靠單點式資安防護機制,但隨著資訊技術和網路依賴性提升,不僅資訊安全攻擊手法愈趨複雜,顯露的資安風險也隨之增加,資安管理不夠與時俱進,不僅耗費時間與資源,防衛成效亦有限。建議企業應結合各界力量,並分析亞太區金融網路安全情勢,推動亞太區網路安全計畫,以發揮最大綜效。
隨著科技技術導入或營運模式改變,金融業業務發展和應用重點將隨之調整,林彥良指出,「儘管如此,不變的是,在規畫新服務或產品時,納入資安管理思維絕對是必要條件」。因此,他建議金融業在規畫業務內容的初期,應邀集資安、法遵人員共同評估是否准入與許可。此外,亦可更進一步參考相關威脅情資,分析可能面臨的資安威脅,並定期實施360度數位風險分析,持續評估與追蹤風險。
富邦金控創新科技辦公室副總經理李相臣指出,在金融科技(FinTech)等技術帶動的破壞式數位金融發展下,網路資訊安全將是影響消費者採用的重要考量。因此,當科技改變傳統金融業營運型態,企業應思考如何與風險共存,並適當調整管理策略,以平衡資安與業務發展間的衝突。
行政院國家資通安全會報技術服務中心主任吳啟文,分享聯防監控經驗時指出,隨著駭客攻擊手法不斷演進,政府機關、軟體甚或服務供應商都可能受害。一旦企業遭受駭客攻擊,不僅破壞客戶信任價值鏈,更可能危及整體網路運作。因此,吳啟文提醒企業,透過引進民間優質資安能量,與政府合建資安聯防體系,將有效防範新型態的網路攻擊。此外,他指出,除了傳統的監控資訊外,金融業必須要統整須加強關注的情資,以建立早期預警機制,降低零時差攻擊帶來的威脅。