金融資安風險升高 新科技打造監理防火牆

過去台灣金融業資安威脅事件頻傳，資安議題逐漸引發各界重視，監理科技思維也應運而生，關貿網路公司提出資安聯防服務生態系概念，協助業者有效遵循法規要求，以降低作業風險。

面對國際金融環境及政經情勢變化劇烈，金融機構業務發展及商品種類日趨多元，及新形態資訊犯罪手法推陳出新，主管機關開始強化對金融機構的監理要求。而金融機構的法令遵循、風險控管及防制洗錢等3單位分別扮演著內部控制第二道防線（《金融控股公司及銀行業內部控制及稽核制度實施辦法》2017年3月22日立法理由）勢必盡力達成遵法性規定。當前金融業者面臨之重要法遵議題概分為下列幾個面向。

當前金融法遵議題3大面向

面向1：金融監理

金管會於2014年8月8日修正《金融控股公司及銀行業內部控制及稽核制度實施辦法》時，即明訂金融業者須建置法遵制度，具體要求金融控股公司及銀行業應設立高階法令遵循單位，負責法遵制度的規劃、管理及執行。法遵單位須至少每半年向董事會報告，如發現有重大違反法令或遭金融主管機關調降評等時，應即時通報，並就法令遵循事項，提報董事會（實施辦法第32條第1項），要求法令遵循單位落實執行。

面向2：洗錢防制

我國將於2018年第4季接受亞太防制洗錢組織（Asia/Pacific Group on Money Laundering, APG）之相互評鑑，金管會已依國際金融行動小組（Financial Action Task Force,FATF）發布之40項建議及評鑑方法，訂定《銀行業防制洗錢及打擊資助恐怖主義注意事項》。法務部並已配套修正《洗錢防制法》，明訂相關人員教育訓練規範，以強化各界防制洗錢意識，全力提升我國洗錢防制體質，增進我國金融活動信譽評等。相關措施皆係透過加強對金融業者之各項監理手段來落實洗錢防制與反資恐配套措施。

面向3：資通安全

在政府高呼「資安即國安」下，2017年4月27日的行政院第3,546次會議中，行政院資通安全處在各界殷切期盼下提出《資通安全管理法》的草案，並在草案第1條開宗明義的敘明「為積極推動國家資通安全政策，加速建構國家資安環境，帶動資通安全產業發展，以保障國家安全，維護社會公共利益，特制定本法。」由此可知，資安已經是國家刻不容緩的施政重點，而金融機構的法遵人員在面對資安法制化的必然趨勢下，要如何因應落實亦將成為法遵及資訊單位業務推動與維繫的重點。

資安已提升至金融風控、法遵層面

以金融業為對象的重大資安事件，不時引發各界關注。也正因如此，今年開春以來，要求加裝緊急防護服務、強化資安監控及網路端點資安防護能力的券商、壽險、金融機構的客戶增加很多，為電信商增加不少企業客戶與商機。金融業者因應這樣的高科技資安事件，請電信公司加裝緊急防護服務、強化資安監控及網路端點資安防護等措施，實不足以因應攻擊手法日新月異的資安事件，而應提升至金融業風控及法遵層面來關注資安營運風險。

相較於傳統法遵業務的可能風險，僅在於未確實遵行時可能來自於主管機關相關裁罰。金融業者的資安事件所衍生的損失往往是無法準確掌握或進行評估的。相關機構在資安法制化後，一旦發生資安事件，除要面對主管機關相關裁罰外，受資安事件影響的直接客戶，或相關交易所衍生的法律求償金額或商譽損失，更是難以估計。

未來金融業法遵人員執行法遵業務，勢必要分別從遵法性要求和應用相關科技雙向並行，才能避免遭受主管機關裁罰，或因而所產生重大財務或聲譽損失的法遵風險。未來法遵議題重點將落在如何應用AI、大數據與雲端運算等新興科技，透過風險管理與法遵創新方案，來有效解決企業經營挑戰，兼顧同時滿足法規遵循要求及提升經營績效。

我國在《個人資料保護法》上路後，因應法令要求，公務機關與非公務機關必須投資建置安全維護事項（《個人資料保護法》第18條），故各機構或建立程度不一的資安防護措施，諸如建立資安制度標準以及資訊保密相關流程作業，以符法遵要求。然而因此所投資成本卻大多數流於僅有單點防護效果，或可能僅為應付內部與外部稽核的查核活動，或法遵要求而不得不為之資安防護作業，又要兼顧營運成本控制，造成企業資安作業流於形式。

以資安聯防生態系升級防護

基於共享經濟概念，資安聯防生態系的創新服務模式被廣泛討論，透過整合社會上具公信力及專業能力的關鍵機構來提供專業服務，聯防機制的作業流程將資安防護作業由點連成線，由線構成面，達到整體縱深防禦的資安防護。參與業者並在不自建全套機制前提下，享受到最高品質之資安防護，除了可降低營運風險，更可進而達成法遵、風控及撙節資安投資成本的便利。

對此，提出資安聯防服務概念的關貿網路公司，整合國內外電子業者DDoS防護、國內外ISAC資安防護機制、保險業之資安險產品，及具公信力專業機構之數位鑑識機制，一旦遇有資安事件，即能透過事件通報及專業客觀鑑識能力，來釐清問題。此項資安聯防服務，透過整合完整的服務生態系，由上而下，由資安政策、策略選擇、作業與活動構成資安維護計畫，並依此建構整體資安縱深防禦體系。

資安聯防服務生態系係由「預警與強化作業」、「資安監控與通報作業」，以及「資安事故與情資應變作業」等3個相關聯的資安維運作業來強化現行作業流程，並藉由資安保單轉嫁可能的風險損失。以客戶端的資安日誌收集器與中心端的資安監控、資安情資過濾分析系統，提供客戶端預警，即時採行應變措施。

另因資安日誌提供，以及監控聯防機制，可檢視客戶端資安防護機制之完整性，提供風險評估報告，作為資安保險核保依據，而得到適當之保障。更可以提供以下4項功能：1、通報針對性的資安弱點情資。2、將各金融業遭遇的攻擊事件與應變處理過程匿名化處理，分享情資。3、以中立角色協助建構資安管理及數位鑑識系統。4、與國際資安組織接軌，協助業界資安升級。

資安即是國安，為因應變化快速的金融科技發展及日新月益的資安攻擊手法，法遵單位必須跳脫傳統法律人思維，並善用創新方案來達成主管機關監理需求且有效控制營運風險。資安聯防服務生態系的概念，突破傳統自建資安制度的單點防護，金融業者一旦參與資安聯防，即可透過小投資，共享業界一流且最即時的資安防護資源，獲得全方面資安防護服務。法遵及資訊單位亦可藉由參與業者提出資安聯防創新服務，達成主管機關的遵法性要求，全面提升國內業者資安防護等級。（本文作者現職：關貿網路董事長；經歷：德明財經科大行銷管理系副教授、國立暨南大學國際企業學系教授）