2020年8月

金管會8月力推「金融資安行動方案」

超前部署 建立金融資安防護網
採訪、撰文:潘以泓

資訊安全是發展金融科技不可或缺的一環,資安威脅每天都在發生,以往政策偏向個別事件補強,沒有整體性的思考跟規劃,金管會參考國外發展趨勢,重擬金融資安方案,達到更全面性的防護。

漢肺炎疫情在台灣雖然降溫了,但在全球其他國家仍肆虐著。而疫情除了病毒本身帶來影響之外,在網路世界也引發了資訊安全防護網的密切討論,特別是金融業者與其高階主管們需要對資安有更多的重視與了解。因此,主管單位金融監督管理委員會將於8月初推出「金融資安行動方案」,而台灣金融研訓院等相關培訓單位也將推出資安相關課程。

數位服務因疫情加快腳步

針對資訊安全的重要性,財金資訊董事長林國良提到,這次疫情一來,大家有一種共同感覺,就是數位時代的腳步因為疫情而更快了,由於此刻是資訊時代,金融業是最早也是最需要導入資訊服務的產業,在將來的數位時代裡面,社會大眾對金融服務需求沒有改變,反而需要取得更殷切的服務,金融業也需要透過數位方式提供服務,隨著金融科技發展普及,資安的重要性不言可喻。

因為資訊時代來臨,資安問題因而顯得相對重要,林國良提醒,資安產業有兩大關鍵必須優先處理。首先是各個產業中的高階經理人是否具備資安的觀念,其次是企業的人才是否足夠去處理資安議題與資安防護。

林國良說到,資訊產業相關的硬體機器可以透過進口來取得,但更關鍵的問題是,各個企業的高階經理人有沒有資安觀念與人才去駕馭相關機器與設備。資安是看不見、摸不到的,這就好像在做投資。往往在過去,資安廠商需要花時間去解釋,但是這波疫情給大家深刻省思的機會。

資安產業跟這次武漢肺炎疫情在本質上有很多是很類似的。林國良認為,這次疫情傳播很快,影響層面很大,產生很多未知,在人類史上是一個新的發生,在全球迅速蔓延,每個人都有機會得到這個病毒,更加強了地球村的概念。同樣的,資安也是在全球網路流竄,台灣的資安議題很多都是境外來的。

要控管疫情,港口、機場可以管制,但是資安整天有這麼大的流量在流動,要如何一個一個去過濾是件非常受考驗的事情。企業要有資安防護概念以及人才培育的概念。林國良認為,要回到理論跟實作面兩個區塊去著手,這兩塊沒有建立起來,只是去建立硬體上的技術,如身分識別、認證、通訊加密等等,是本末倒置。特別是高階經理人如果沒有資安的概念,覺得方便就好,會為企業帶來很大風險,因此風險意識要很高。

金管會資訊服務處處長蔡福隆也提到,因應全球資安問題,金管會8月初將會對外公布「金融資安行動方案」。金融機構的資安風險有三種,第一是客戶的資訊被竄改、錢被盜領;第二是客戶的個資外洩;第三是客戶要使用金融服務不能中斷,資安的工作目標就是要防止這三件事。

以往的政策偏向個別事件做補強,沒有整體性的思考跟規劃,因此金管會花了半年多的規劃,並參考國外相關資安發展趨勢,重擬金融資安方案,用更完整的方案來推動,不再像過去做補破網的動作,讓資安更具全面性。

三面向形塑整體資安計畫

在這項政策中有幾個重點,第一,要形塑企業組織重視資安文化。這項重點的目的是要金融機構重視資安組織文化,增進金融界對資安重視。蔡福隆特別提到,重視資安應該由上而下,因為從上面源頭開始著手,企業才會願意配置足夠人力以及預算等來推動資安。資安問題涉及企業組織整體,所有人都相關,是一個整體性,不是只有資安單位的工作,跟全組織都是有關聯的,每個人都用電腦就有造成資安風險的因素。

根據銀行內控內稽辦法中規定,每年3月底銀行必須呈報前一年度資安情形,然而董事會的成員是否有資安相關能力可以做出正確判斷,就是一項重要關鍵。因此企業董監事的教育訓練與基本認知,讓他們可以針對資安報告做有效的監督。

其次要加強網路安全相關規定,加強金融機構資安防護的工作,也是政策方向之一。大家把網路安全維護的工作強化,加強監控。

蔡福隆提到,國際上駭客的區分也很細,有駭客專門只駭金融業,在這種狀況下風險很高,就好像防守的是萬里長城一般。但駭客侵入系統不是主要目的,而是侵入後要慢慢入侵探測,甚至有駭客直接空降後方郵件系統,令人防不勝防。

因此,必須要有一個很好的監控機制。蔡福隆認為,除了前端做很多防火牆外,也要有很好的監控系統,可以監控出來有活動。網路防禦的縱深架構要切很細,也就是又深又廣。用家中來比喻,如果盜賊進來家中,但家裡有很多房間,每一個房間都有各自的鎖,而不是每個房間都沒有門,要讓小偷入侵的難度大大提高。資安防護網的概念就是如此,將網段切得更細,讓駭客到每個地方去要花很多工夫,增加難度。也因此加強新興科技安全規範,如App、物聯網、雲端等都是新的東西,也要特別強化規範。

理論+實作培育人才

第三個重要面向是資安人才培育。蔡福隆提到,有許多單位都需要人才,金融機構本身的人才培育,如金融研訓院、證基會等單位也訂定金融資安人才地圖。他進一步指出,資安人才要透過兩個角度培養,首先是學習,上課受訓並取得國際證照,強化專業能力;其次是推動資安相關攻防演練課程,模擬駭客攻擊來做練習、強化經驗。透過理論與實作兼顧,資安人員的知識學識更寬廣,同時也具備實務經驗。

而林國良也提到資安人才培養的問題,他提到,各大學校都有在做基礎資安人員培訓,像是資工、資管、資安等相關科系就是這方面的專業。但學校培育的人才屬於基層人員,企業的經營者、高階經理人並沒有時間回學校上課,但這群人卻是決定企業資安比重、風險考量、資安投資額度、給資安人員多少資源等的關鍵人物,高階經營者是企業資安動力來源。

高階管理人員的資安觀念若建立起來,企業會更重視資安布局。這些資安人才在企業中就會得到相對應服務的角色,人才需求被重視後,資安產業發展自然就會起來。林國良表示,台灣有很多好學校培養很好的學生,可以快速加入資安產業,金融產業重視資安,也會帶動學校對資安的重視,可帶動資安產業,企業在資安得到的防護就會提升。

林國良說:「資安比地球村更地球村。」現在已經不是單打獨鬥的時代,駭客也不斷在增長,自己一個人無法獨自面對全球資安威脅,大家一定要團結,資訊要互相分享,確保數位時代經濟活動可以得到保障,發展可以更快速。

委外管理須留意有效監督

在資安監管上,蔡福隆也補充另外一個重點,他說目前企業受限於人力跟預算的限制,部份業務需要委外,可以看到金融業資安委外管理的狀況非常頻繁,因此也是重要的一項。金融業與供應商、合作夥伴的資安管理都必須留意,要做有效的監督,委外的單位獲取相關的業務資料、駐點人員遵守相關管理規定,金融機構本身對資安管理也要加強。加強金融資安的韌性,導入國際標準,鼓勵業者做實際演練,萬一發生事件,可以很快應變跟復原。

從金融業的角度來看,在華南銀行任職超過30年的資訊長王世達強調,資安防禦的重點應該著眼有效性,要有清楚的整體防禦策略,再分階段逐步落實,在執行過程中降低執行的阻礙,讓同仁自然而然能接受企業所要求的資安環境。要在企業中推動資安,並讓同仁融入其中,需要技巧與耐心,最重要的是要先有資安布局地圖,設定合規的優先順序,再切分為更細項的執行。

而在落實資安時,涵蓋的層面其實是企業全體的工作人員,因為會影響作業習慣。例如要管控上網的權限,必須考量實施時的阻力與讓同仁願意配合,實施初期先從大家都可以接受的,像是色情、賭博網站等著手,再擴展到其他面向,讓大家習慣後再逐步限縮,循序漸進以降低導入障礙。

蔡福隆強調,透過文化才能內造,全員上下來重視資安,如果金融業只是應付主管單位做稽核,資安就不會做好。雖然導入資安文化要花比較久時間,但是金融業導入資安文化概念才是可長可久,並具有高度安全性。另外也跟國際相關資安機構合作,建立金融資安事件體系,用AI的方式做分析與收集,成就安全便利不中斷的金融服務。

隨著全球資安威脅大幅提升,企業資安高階主管人才需求急遽增加,為提升金融體系資安防護能量,財團法人台灣金融研訓院芬恩特創新聚落也跟財金資訊合作,規劃舉辦「金融資安高階主管儲訓計畫」(Cybersecurity and Information Security Executive Program, CISE),以NIST與F-ISAC資安培育藍圖框架為根基,規劃金融產業營運所需網路禦敵與資安預防管理及治理規劃應備知能為培訓主軸,架構五大模組課程,提供全面性、系統性的金融資安高階主管核心職能學程,透過專業課程研修、個案研討、國際交流與外部研習等多元活動,培育資安管理關鍵思維與能力,希望能為金融業資安防範持續注入新量能,強化資安品質,為金融業務發展提供更安全、穩健的資安防護。