專訪財金公司董事長趙揚清

打造金融業互助資安聯防平台

近幾年來，在政府積極推動非現金支付的政策之下，財金公司在行動支付領域可說聲名大噪，但事實上，除了行動支付之外，身為跨銀行金流平台的財金公司，其實也在許多其他的領域扮演重要的角色，特別是在資訊安全及洗錢防治意識高漲的當下，財金公司在去年底擔下一項重要的新任務，將作為全體金融業共同的「金融資安資訊分享與分析中心」（以下簡稱F -ISAC）。

此次財金公司董事長趙揚清接受《台灣銀行家》雜誌專訪，首度對外表達她對這個平台未來在金融圈發揮功能的期許與展望。在她看來，「平台的建立」使金融業者之間，不分資源多寡都可幫助自身發展業務、降低營運風險，並希望國內金融業者能藉由該平台對於許多潛在的資安風險與問題能防患未然。

對於F - ISAC的功能，身為趙揚清的得力助手，也是財金公司總經理林國良則以全球知名童話故事〈阿里巴巴與40大盜〉比喻，強盜會到被列為目標的家戶門外，畫上X作為要下手的信號：「即使不是每家都會受到攻擊，但我們至少希望知道，到底有哪幾家、哪些類型的業者已被畫上X，這就是通報機制的重要性！」

比起直接買國外現成的資料，金融業者之間回饋、分享最新實務經驗更顯重要，因為這些資料不僅是第一手，而且台灣的市場環境最為吻合，業者可藉此馬上知道該如何因應、防範曾在其他業者內部出現過的危機，趙揚清更呼籲，即使是會員機構剛出現的徵兆，也有向中心通報的價值。

推動金融業的資安聯防機制，財金公司有何因應策略？

趙揚清答（以下簡稱答）：按金管會所規劃F - ISAC的服務對象及成立宗旨，會員將涵蓋銀行、證券、期貨及保險等金融機構，具體執行計畫包括情資收集、通報、研析及分享，期使透過F - ISAC平台能安全、保密、快速交換駭侵情資，協助金融機構評估資安漏洞、事件應變及演練，舉辦教育訓練、研討會及國際交流等，建構金融體系資訊分享與聯合防禦的機制，強化金融產業的整體資訊安全。

由於財金公司本身的職掌即在維護跨行金融資訊系統，與資安產業亦沒有業務競爭，因此具備成立該平台的基本條件，一方面可讓金融業者放心分享資安情資，另一方面也可讓資安廠商有公平競爭的機會，我們希望所有參加的金融同業會員，都能放心在該平台之上，充分進行最新資安資訊的交流，我們也會適度引薦資安業者給有需求的金融業會員，希望透過該平台，讓金融機構在辦理資安評估、事件偵防或應對處理，能根據機構的需求與資源，在資安市場上取得相應的服務，一方面協助金融產業提升資安防護意識，同時帶動國內資安產業發展，藉由金融產業與資安產業的良性互動，提升金融產業的資安防護能力。

金融資安已被定調為國安議題，您對於政府、金融業有何建議？

答：行政院資通安全會報已於2017年提出「國家資通安全發展方案（2017年至2020年）」，供作國家推動資安資通防護策略與計畫的重要依據，按國家資通安全發展方案的發展藍圖，建構國家資安聯防體系為推動策略之一，由於各產業間的產業特性與資安需求不盡相同，行政院現階段界定攸關國家安全與民眾福祉的關鍵基礎設施，並已訂出了中央與地方各級政府、能源、水資源、高科技園區、通訊傳播、交通運輸、金融、緊急救援與醫院等8大領域，還進而研訂相關領域「資訊分享與分析中心」（ISAC）建置的績效指標。

金融方面，像是F - ISAC已在去年12月1日成立，財金公司除了戮力耕耘F - ISAC平台外，亦將配合國家政策，與國家層級N - ISAC及其他關鍵基礎設施領域ISAC的串接，以完善跨領域資安聯防體系。目前包括銀行、保險、證券等業別，我們已有88個會員，雖然無法強制所有的金融業者都成為會員，只能讓會員自動來參加，但F - ISAC參與會員多寡及互動成果，將決定此平台的執行成效，因此我希望金融業者都能信任這個平台，積極參與並分享資安情報與資訊，才能強化這個平台所能發揮的效果。

業者對於參與平台通常最大的疑慮，往往在於機敏資訊可能會外洩，財金公司如何預應？

答：我們特別把F - ISAC獨立設立在南港科學園區，而非在我們財金公司，就是一種防火牆的作用。資料分享也有分等級的，依照國際信任標準，分成白、綠、黃、紅四色等級。白色為無限制，綠色為相同類型的會員之間才能分享，黃色則僅限於該會員內部的組織，至於紅色的最高級別，已等同於「閉門會議」。

而在Garner 2017的威脅情資報告中也提到，根據使用者的問卷回饋，由其自身所參與形成的分享平台，其分享的情資，甚至較購買的商業情資更有幫助，因為由各領域所建立的各自資安資訊分享中心（ISAC），將更貼近使用者的領域需求。台灣的F - ISAC也是如此，所以我們才希望金融業都能共襄盛舉成為會員，多貢獻自身經驗分享、案例。

雖然金融機構間的業務發展是競爭的，但針對駭客的網路安全威脅，應該是站在同一陣線共同合作、共同防禦的，而打造一個國內互助共贏的金融資安聯防平台，並共同建構國內安全的金融交易環境，正是F -ISAC的成立及運作宗旨。

為有效降低資安威脅，國外是否有相關經驗可借鏡參考？

答：面對日益嚴峻的資安威脅，全球主要國家及地區都已相繼設立金融資安資訊通報與分析機制，像是美國、歐盟、英國、日本、韓國、荷蘭都有，顯見這種自動化與情資分享，已成為全球網路防禦的新趨勢。

如何在有效的時間內掌握最新的可能威脅及因應，目前的網路防禦實務極度仰賴網路防禦人員的速度及技能，但不幸的是這種作法無法追上目前資安威脅的產生速度及量，因此，導入如機器學習（Machine Learning,ML）或人工智慧（ArtificialIntelligence, AI）等技術的自動化技術，將可大幅降低網路威脅偵測及回應的時間，然而這還得仰賴豐富且即時的威脅情資及回應資料庫，而不同機構間的資訊分享，也將有效防止同類的威脅可再重複利用攻擊到其他的機構，也因此我們希望會員能積極分享資料或案例到平台上，才能讓平台發揮更強的功能。

F-ISAC平台運作上，主要有何重點工作？

答：不論在網路威脅的事先預防、事中偵測及排除、乃至事後之回應或處理，我們F- ISAC平台在這幾個重要階段的工作都有含括，並且會根據作業程序，引薦資安系統商給所需要的金融業者，上述都是該平台的工作重點。

基於這些重點工作，目前F - ISAC提供會員的服務主要包括了警訊通報分享、收或追蹤會員通報分享的資安事件，依威脅等級發布緊急資安訊息並視需要追蹤後續處理情形，以及各種資安情資的分析，包括將依照本中心蒐集的資安情資，分析其攻擊手法、潛在威脅或資安風險，提供會員資安威脅情資週報、月報及資安威脅情資報告，此外也讓會員間分享與交流相關資安情資，並且協處資安諮詢與評估，彙整資安漏洞資訊及相關修補程序，或控制措施，提供會員資安諮詢服務或引介專業廠商或團體，提供會員資安諮詢與漏洞評估服務。

此外，F - ISAC也會辦理金融資安資訊相關研討會、教育訓練，提升整體會員機構資安防護意識，或協助資安人員面對資安事件之應變處理，並依本中心相關作業程序，就會員資安事件應變處理之需求，來引介專業廠商或團體。

我也必須再三強調，金融業者之間彼此共襄盛舉，回饋多種不同案例、經驗至該平台，和其他金融業者會員之間交流分享的重要性。儘管是進行「聯防」，但每個會員承擔風險的資源與能力的確有所不同，此時該平台所發揮另一積極的功能，在於會依據不同會員的不同需求，依據作業規則來引薦不同的資安系統廠商給金融業會員，如此一來也更積極發揮了串聯、整合產業生態鏈資源的效果，這也將使得金融業會員的「防災應變」能力更強。

趙揚清

現職：財金資訊公司董事長、臺灣行動支付公司董事長

學歷： 美國哈佛大學法學院國際租稅計畫研究、政治大學財政所碩士、淡江大學會計統計系會計組學士

經歷： 財政部稅制研究委員會／賦稅署科長、財政部國庫署專門委員／組長／副署長／署長、行政院開發基金副執行秘書／執行秘書、行政院公平交易委員會主任委員、淡江大學會計學系（所）專（兼）任助教／講師／副教授、財團法人會計研究發展基金會常務理事、中國國際商業銀行監察人／董事／常務董事、台北富邦金控及子公司（銀行、綜合證券、產物保險）獨立董事