封面故事 > 歷代精選 2023年8月

總論篇》資安是國家戰力也是金融業新資產!

台美合作 更罩!
撰文:張嘉伶、陳曉嵐

美國已發布國家資安戰略,確保國民能受益於安全的數位生態系,透過戰略投資與協調,建立安全與韌性的下世代技術與基礎建設,並建立國際夥伴關係,台灣擴大跟美國聯手,相信能升級更強資安防護罩,資安也將成為金融業的新資產!

烏開戰500多天,陸海空全面開戰外,網路資訊戰也變身為第四戰場,而台灣身受地緣政治衝突影響,很容易成為國際駭客攻擊的熱區之一。觀察到美國日前已發布資安戰略,也特別設置專責單位負責金融資安,台灣方面也跟上國際趨勢,總統蔡英文更帶頭提出應提高金融機構的防護力和應變力,即使沒有短期量化的收益,但是管理階層應堅持落實資安,並提供適當的資源,保護金融機構、保護企業和客戶,「資安將會成為金融機構很大的資產!」因強大的資安能力已成為國家的新戰力指標!

網攻成全球各組織新難題 強化資安勢在必行

近年來,國內外機構資安遭受網路攻擊事件頻傳,挑戰政府與企業的資安應變能力。根據Check Point Software2023年網路安全報告》調查顯示,2022年全球網路攻擊年增38%,各組織每週面臨的攻擊數量平均為1,168次;再看2023年第1季全球網路攻擊每週平均增加7%,各組織每週平均被攻擊1,248次,而台灣各組織每週平均被攻擊達3,250次,是全球平均的2.6倍、年增率24%

另一家資安公司卡巴斯基(Kaspersky)的各產品檢測統計,勒索軟體在2022年嘗試勒索攻擊的次數達7,420萬次,比起2021年的6,170萬次,成長20%。隨著新興科技發展,衍生複雜又多變的資安問題,網路攻擊幾乎涵蓋各類型的產業機構或組織。

為了抵擋來自中國及其盟友的網攻威脅,美國祭出一系列防護措施,在2021年成立網路空間和數位政策局(BCDP),加強與大型科技公司的合作;接著於隔年10月公布《2022年國家安全戰略》(National Security Strategy),內容提到針對電子業製造業的供應鏈安全問題,提升資安防護手段是必要措施。

美國祭出資安系列防護措施 攜手台灣有跡可循

美國白宮更在今年32日發布國家資安戰略(National Cybersecurity Strategy),除了確保美國全體國民能受益於安全的數位生態系,透過戰略投資與協調合作,建立具備安全與韌性的下世代技術及基礎建設,同時建立國際夥伴關係,追求共同目標。

而台灣不論是在國際政治或經濟上,都扮演日益重要的角色,加上台美關係互動密切,在資安問題上,雙方更是攜手合作及互助的夥伴,從20209月台美聯手偵破境外駭客攻擊中油案,並共同召開記者會說明的情況可見一斑。

為了深化台美間的資安交流,美國在台協會(AIT)在今年6月底邀請美國財政部網路安全和關鍵基礎設施保護辦公室(OCCIP)網路情報的風險分析和韌性部門主管George Salmoiraghi、國際網路政策副主任Wilson Co及高級政策顧問Steven Nider來台,並參加由金融研訓院主辦、資策會等協辦的「台美金融資安論壇」,分享金融監理與風險管控,這也是台美雙方首次在金融資安議題上進行公開性合作,總統蔡英文、AIT處長孫曉雅(Sandra Oudkirk)都親赴現場並致詞,且不約而同地提到「資安就是國安」的重要性。

AIT處長孫曉雅致詞時感謝財政部、金管會及企業界與AIT努力,共同處理必須合作的資安問題,緩解銀行面臨的風險,不論在美國或台灣,金融業都會面臨勒索軟體及駭客攻擊事件,在不法分子持續演進、變化的情況下,雙邊要共同合作、持續學習,讓網絡更強韌。

孫曉雅也說,美國拜登政府今年3月推出資安策略,採取重要措施以減緩風險,要與台灣等理念相近夥伴共同推動反映價值、繁榮、保護人權與民主自由的方案;為了達到目標,各項策略必須有能力不受威脅攻擊,並為未來的韌性進行投資,攜手進行相關應變。

孫曉雅指出,AIT重要的工作之一是資安交流,透過全球交流或其他演練,還有台美其他機制等,更進一步合作,首次推出金融資安論壇,之後商務部將有代表團來訪台灣,美國致力於跟有共同價值觀的夥伴合作,一起打造更能信任的供應鏈。

資安即國安 打造更強韌資安防護體系

總統蔡英文致詞時表示,她不斷強調「資安就是國安」的概念,尤其在台灣推動數位轉型的同時,無可避免需要面對更複雜多變的資安威脅,所以,對資安風險的辨識、評估和控制,更需要透過跨產業、跨領域的聯防合作,而金融研訓院和AIT共同舉辦的「台美金融資安論壇」就是最佳的展現。

蔡英文也細數執政團隊致力提升各面向的資安防護。首先,在政府部門的部分,去年8月「數位發展部」正式成立,且率團赴美參加全球重要的資安會議「RSA」;而「國家資通安全研究院」在今年2月正式揭牌,為國家級的資安行政法人,將全力推動前瞻資安科技的研發、應用及服務,致力提升關鍵資訊系統,以及基礎設施的防護能力。

另在國際合作部分,台灣並不落人後,蔡英文表示,台灣在2017年設置「金融資安資訊分享與分析中心」(F-ISAC),透過持續演練、評估和分析,提前預防系統性風險的發生。而F-ISAC2019年加入美國的相關體系,合作、分享金融資安的情資;且自20221月開始,台灣成為美國資安事件應變及安全小組論壇(FIRST)會員,與許多國家的金融資安單位簽訂MOU,建立合作管道,擴大金融資安的國際合作。

至於國內金融機構方面,金管會從2020年起推動「金融資安行動方案」,要求金融機構設置資安長,導入國際資安標準,並辦理資安攻防的演練,建立應變體系,提高對資安事件的反應能力;去年更進一步發布「金融資安行動方案2.0」,強化重要核心資料保全機制,鼓勵導入「零信任」驗證制度,透過「永不信任、持續驗證」的精神,務實地降低金融機構的資安風險。

根據金管會去年底發布的「金融資安行動方案2.0」,由於1.0版從2020年實施至2022年的主要KPI均已達標,占全計畫的86%;為了擴大適用、落實與深化、鼓勵前瞻為持續精進方向,訂有40項措施,其中新增資安措施計12項、擴大適用範圍計5項、持續性措施計23項,當中有9大精進重點。

一是擴大資安長設置,定期召開「資安長聯繫會議」;二是因應數位轉型及網路服務開放,增修訂自律規範;三是深化核心資料保全及營運持續演練;四是擴大導入國際資安管理標準及建置資安監控機制;五是鼓勵資安監控與防護之有效性評估;六是鼓勵「零信任網路部署」,強化連線驗證與授權管控;七是鼓勵配置多元專長資安人才,擴大「攻防演訓」量能;八是提升資安情資分享動能,增進資安聯防運作效能;九是辦理資安攻防演練,規劃「重大資安事件支援演訓」。

「金融資安行動方案2.0」將以3年為期,每季檢討成果,將採5種方式推動執行,首先在公私協力,政府、金管會周邊單位及各公私協力業別公會協力合作分工;其次是差異化管理,依不同業別、規模及業務,給予不同資安要求,循序推動;再來是資源共享,建立情資分享、事件應變及監控體系;接著有激勵誘因,做好資安的業者,給予費率優惠等降低經營成本的誘因,如降低存款保險費率;最後是國際合作,結合其他國家資安組織,掌握國際資安情勢,合作因應駭客攻擊。

資安人才培訓基地 金研院打造國家級資安聯防梯隊

而長期培育金融人才的金融研訓院積極響應政府措施,20208月與財金資訊公司共同推動「金融資安高階主管儲訓計畫」(CISE),首度試行資安LEAP班,課程以NISTF-ISAC資安培育藍圖框架為根基,規劃金融產業營運所需網路禦敵與資安預防管理、治理規劃應備知能為培訓主軸,架構五大模組課程。

金融研訓院副院長林仲威強調,「資安的防範關鍵在人!」4年來,金融研訓院攜手財金公司共同啟動金融資安長的儲訓計畫(CISE),每年培養25位金融資安將官,透過近百場的新知研討及紅白軍實戰攻防演練等,協助金融業培養資安戰隊,並且以數位課程的方式全面提升從業人員的資安意識。

架設「金剛防護網」 強化、保護關鍵基礎設施

從政府到民間、國內到跨國合作,官、產、學正傾注全力架設資安「金剛防護網」,而美國發布的國家資安戰略第一支柱「保護關鍵基礎設施」,要讓民眾對關鍵基礎設施與服務的韌性、可用性充滿信心。

蔡英文也提到,立法院在今年5月底,三讀通過《銀行法》、《證券交易法》和《期貨交易法》的修法,往後涉及破壞核心資通系統設備的正常運作,都會加重刑責,最高可以處7年以下有期徒刑,併科1,000萬元以下罰金,就是為了強化金融關鍵基礎設施的保護。

面臨資安風險,金融業欲提升防護力和韌性,勢必要投入大量資本,蔡英文認為,儘管提高金融機構的防護力和應變力,需要投入很多成本,且無短期可量化收益,但管理階層堅持落實資安,並提供適當資源,保護金融機構、企業和客戶,就是金融機構很大的資產。

網路戰的重要性,已經不亞於實體戰,金融業的資安長、資安人才所擁有的產業資安防護能力,如同保家衛國的軍人,差別在於,這群資安捍衛戰士不用攜帶武器,而是運用無形的資產,為金融業或整體的國家安全帶來強大的保護力。