共構金融資安聯防中心 打造高CP值防護網

資安因應

撰文：關貿網路董事長許建隆暨營運服務群

共構金融資安聯防中心 打造高CP值防護網

金管會盼在2020年提升台灣電子化支付比率達5倍，資安問題將成首要課題。近來國際對於資安相關法規趨勢，多以設立專法等方式進行規範，本文將深入探討建置金融資安監控聯防中心之必要性。

金融機構因業務特性與經濟發展及社會安定緊密相連，在2015年行政院資安辦公室公告之「政府機關（構）資通安全責任等級分級作業規定」中，係歸類為A級單位（資安責任最高等級），並且定義為關鍵資訊基礎設施，相信在《資安管理法》推行後，公、民營行庫之核心系統仍將被列為關鍵資訊基礎設施。

為因應此一趨勢，金融業資安從業人員宜盡早進行相關因應準備。而我國行政院資安處曾於2016年10月13日提出新一版《資安管理法》草案，其中規定非公務機關經中央目的事業主管機關指定為關鍵基礎設施提供者，須訂定、修正及實施資通安全維護計畫。

金融業依法架構資通安全維護計畫

根據《資安管理法》草案第17條要求，非公務機關應訂定通報及應變機制，並於發現資通安全事件時應向中央目的事業主管機關通報。目前，由金管會主導規劃推動金融資安中心F-ISAC預計於2017年第2季成立，可預見F-ISAC將成為各金融機構對主管機關通報資安事故或交換資安情資的平台。

前述法規條文與主管單位的動向勢將增加金融業資安從業人員的責任與工作，但若能有效、快速的交換威脅情資，也確實有可能在第一時間讓各金融業者可快速應變最新的資安威脅與攻擊，有效避免或降低新攻擊手法所造成的實質或商譽損失。關貿網路資安監控中心（SOC）於其多年來提供客戶資安服務的經驗中發現，參與政府單位G-ISAC會員交換情資，確實能藉此幫助其客戶有效的及早掌握資安風險資訊，並控制及減少以新攻擊手法發動的，或大或小規模不等的，駭客攻擊入侵所可能造成的損失。

在《資安管理法》（草案）中，要求公務機關與非公務機關須訂定、修正與實施資通安全維護計畫，也要求主管機關提供範本或施行辦法等資訊供業者參考。但在此之前，公務機關與非公務機關仍可先進行相關準備，檢視是否有不足或未涵蓋之處。首先，可從盤點目前的資安軟硬體設備的投資、資安服務的採購與實質效益、採用的資安制度標準以及相關流程作業，並參照近年的資安風險威脅，檢視現行資安防護投資是否有不足或尚需補強深化之處，更重要的是避免各項資安投資流於僅有單點防護效果，宜透過作業流程將資安防護作業由點連成線，由線構成面，達到整體縱深防禦的資安防護。

資通安全維運作業的3大環節

為避免流程的設計僅是應付內部與外部稽核的查核活動、流於形式，建議金融業者可從「預警與強化作業」、「資安監控與通報作業」，以及「資安事故與情資應變作業」等3個相關聯的資安維運作業來檢視與調整現行作業流程，評估是否藉由資安保險（Cyber and Privacy Insurance）轉嫁可能的風險損失（詳見圖1）。

更建議金融業者定期評估現行資安策略、議題、資安風險與資安投資決策等資安管理活動，例如評估投保資安保險的效益、是否調整組織將資安人員獨立於IT單位之外、是否在企業內部成立資安中心、自建資安監控平台或將資安監控委外、選擇資安服務廠商之評鑑標準、因應市場環境、科技技術變化或法規制度變動造成的資安風險等。由上而下，由資安政策、策略選擇、作業與活動構成資通安全維護計畫，並依此建構整體資安縱深防禦。

「預警與強化作業」、「資安監控與通報作業」，以及「資安事故與情資應變作業」等資安活動為資通安全維運作業的3大環節。建議金融業者以相關資安案例來檢視這些活動的設計，再以PDCA循環逐步優化作業流程。

從2016年上半年孟加拉中央銀行的環球銀行金融電信協會（SWIFT）金融電信網路遭駭客入侵跨國盜轉帳案例來看。當金融業者收到此同業之威脅情資時，負責情資管理的資安人員將視情資等級進行內部通報，並針對可能受影響的工作站或主機，擬定對策，呈報決策主管，進行資安情資應變作業，或採行風險降低對策，例如限制工作站對Internet的直接存取、建立工作站專用機上的程式白名單管控機制，或加強對可能受影響之工作站電腦上的異常訊息與網路封包之監控通報等。

資安維運人員需要針對預警情資進行篩選、通報管理階層、盤點對應的資訊系統、判斷可能的影響，並擬定適當應變對策方案，快速取得決策階層同意後，投入資源進行對策所需的應變，並在資安情資應變完成後，重新檢視該個案應變過程，並思考是否可回饋到例常的資安強化作業。例如透過年度資安評估作業，檢查防火牆或代理伺服器（Proxy）是否有依照規劃對此類相關工作站正確設定對Internet的存取管控，避免該等工作站遭植入後門程式時傳送內部機敏資訊到駭客的中繼站；並因應該規劃設計資安監控規則，以監控該類工作站的網路連線活動是否有違反防火牆或代理伺服器（Proxy）對Internet的存取管控規則；再根據此規則確認資安事故通報與該類資安事故之應變作業程序。

如此從「預警與強化作業」、「資安監控與通報作業」與「資安事故與情資應變」等活動循環落實資安維運作業，累積的資安經驗有助於提升金融業者面對相關資安情資的應變活動。

金融資安聯防中心提供4大功能

企業於強化「資安監控與通報作業」時，通常需要抉擇自建資安事件管理平台（SIEM）或委託外部廠商執行資安監控與通報。其考量因素除了軟、硬體購置成本之外，還包含7x24維運資安監控中心的一線監控、二線維運管理及三線支援、應變等各種資安專業人才的招募與管理問題。除自建或委外2種模式之外，企業自建平台及維運團隊，再藉助專業的資安監控服務廠商補充維運人力的不足，亦為另一種可選擇的資安監控維運做法。此外，在金融產業間組成聯防共構資安監控中心，或許有可能在法規的驅動下成為未來第4種方式。

建議之金融資安聯防中心，除了提供資安監控服務，以降低金融業者自建及維運7x24資安監控中心成本外，宜提供以下功能，以強化其對於金融業者之效益（詳見圖2）。

1、提供針對性之資安弱點情資通報。未來金融產業界之資安資訊分享與分析中心（F-ISAC）雖然提供資安情資，但尚未規劃針對個別會員的需求在通報前事先過濾篩選情資，故預期其會員未來所收到之情資數量眾多，而與業者切身相關者寡少，業者自身之資安維運人員將需要花費許多工時用以過濾情資。因此，金融資安聯防中心若能對個別業者提供針對性之資安情資，並予以分類及建議風險因應之優先等級，將可節省業者相關人力工時，並提升因應作業之時效性。

2、提供事故處理經驗庫。金融業者間具有競爭關係，對於所遭受之資安攻擊事件與應變處理方法等詳情可能不宜與同業共享，但金融業者同為資安攻擊之熱門標的，各業者所遭遇之攻擊手法相似性高。因此，金融資安聯防中心若能將會員遭遇之攻擊事件與應變處理經驗予以匿名化處理，再提供給其他會員參考，將有助於提升個別業者事故因應之時效性，降低損失，並供部署強化措施之參考。

3、協助降低資安保險費率及理賠程序。資安防護作業牽涉之環節涵蓋金融應用系統、軟體、網路、系統網路管理人員，以及內外部作業人員，其防線長而複雜，加以資安攻擊手法時刻翻新，資安團隊、設備及服務廠商難以保證金融業者能獲得百分之百的資訊安全，藉資安保險以轉移業者因資安攻擊遭受損失的風險為目前發展中的一種做法。

資安保險業務在國內尚未普及的原因包含保險費率高、理賠準則不明確等。資安保險費率之估算與被保險人之資安風險緊密相關。由於保險人與被保險人之間資安風險資訊不對稱，造成保險人對被保險人資安防護能力與風險程度信心薄弱，以致保險費率居高不下。藉由資安聯防中心以中立第三者角色提供被保險人諸如資安監控防護規則、資安防護設備紀錄（Log）與維運團隊專家能力等專業之資安防護部署與成效佐證，將可協助提升保險人對於被保險人之資安防護信心，降低資安保險費率，及加速理賠作業流程。

4、與國際資安組織接軌。金融業者拓展全球性業務時將面對國際化之資安防護要求，可能需要與多個國際性之資安資訊分享與分析中心介接，以提供自身之資安情資，或接收國際組織之資安情資。若資安聯防中心具備與國際ISAC之介接能力，將可免除金融業者自行開發與維運介接介面之負擔，順利與國際接軌。

全面升級資安防護，接軌國際

資安威脅、資安情資攻擊手法瞬息萬變，駭人的入侵新聞案例更令從業人員面對巨大的挑戰，《資安管理法》或許會更增加資安從業人員的責任，更直接增加企業營運成本，資安從業人員或許可藉此爭取更多的資源投入，重新檢視目前配置的資安軟硬體設備人力與組織架構，將現有投入或不足之處補強，由單點防護透過流程作業串聯成線，透過點線相連形成完整的資安防護面，最後構成整體防禦縱深，確實落實於資安維護維運計畫與作業。為使金融業者投入的資安投資更具效益，宜考量建立金融資安聯防中心，以收提升資安防護時效、降低損失，以及順利與國際接軌之綜效。（本文作者現職：關貿網路股份有限公司董事長；經歷：德明財經科技大學行銷管理系副教授、國立暨南國際大學國際企業學系教授）