美國篇》 解密OCCIP 聚焦關鍵基礎設施聯防

採訪、撰文：陳曉嵐

OCCIP就如同情資單位，主要是與金融部門公司、行業團體和政府合作夥伴保持密切合作，共享有關網路安全、實質威脅和漏洞資訊，鼓勵使用符合資訊安全標準及最佳化措施，發生重大事件時，做出回應及恢復正常運作。

台美雙方首次在金融資安議題上進行公開性合作，最受矚目的「焦點」，就是來自美國財政部（U.S. Department of the Treasury）的網路安全和關鍵基礎設施保護辦公室（Office of Cybersecurity and Critical Infrastructure Protection, OCCIP），然而這個神秘的單位究竟在資安議題上扮演哪些角色？

神秘的OCCIP 擔任公私金融部門對接窗口

根據調查，在美國財政部官網上的組織架構圖中，並未看到網路安全和關鍵基礎設施保護辦公室（OCCIP）的名稱，僅找到一段簡要的介紹文字，「OCCIP協助美國財政部相關部門的工作，以加強金融服務部門關鍵基礎設施的安全性和彈性，並降低運營風險。」

其實OCCIP就如同是一個情資單位，因此本身非常低調、曝光極少，他們主要是與金融部門公司、行業團體和政府夥伴保持密切合作，共享有關網路安全、實質威脅和漏洞的相關資訊，鼓勵使用符合資訊安全標準及最佳化措施，並在發生重大事件時，做出回應及恢復正常運作。

這次來台灣參加論壇專題演講的OCCIP網路情報、風險分析和韌性部門主管薩蒙瑞伊（George Salmoiraghi），在專題演講「國家金融穩定與強化金融韌性–美國對於重大事件與金融穩定之策略、實務」中，概略提到近20多年間，美國政府如何將「關鍵基礎建設防護」列為施政的核心與重點，特別是在2001年「911恐怖攻擊事件」之後，陸續發布行政命令、基本策略跟國土安全總統令等。

薩蒙瑞伊指出，如何有效地整合關鍵基礎建設與重要資源，並有效地運用聯邦經費及資源，保護關鍵基礎建設免於恐怖攻擊，美國國土安全部也修訂相關的計畫，強調「安全與韌性」作為推動國家關鍵基礎設施的防護目標。而OCCIP的責任在於協調各單位，重點在於推動國防要素、驅動所有面向，確保基礎設施安全的可用性和安全性，並進行弱點評估，布建資訊分享和跨部會協調。

薩蒙瑞伊提醒，情報分享十分重要，必須有一個團隊負責持續交流，即便在疫情爆發期間，也能運用科技讓其他單位參與，目前團隊有1,200名參與者，針對金融業等相關單位提出建議，同時，找出威脅跟弱點進行演練，風險管理跟減緩風險是現階段的兩大重點，如何設計更有效的演練，檢視金融機構跟設施之間的相互操作性。

落實全民資安 民間企業須與政府同步

由於美國總統拜登上台後，政府重要部門陸續遭到重大網路攻擊，薩蒙瑞伊也提到，拜登於2021年5月簽署發布，要求改善國家網路安全並保護聯邦政府網路，同時，提醒民眾政府單位和民間企業發生的資安事件，若只靠聯邦政府的行動並不足，尤其美國多數關鍵基礎設施由民間企業所擁有，所以，需要鼓勵民間企業採取較積極的措施來調整網路安全投資。

因此，OCCIP最近不斷跟民間企業合作，要採取哪些更好的方式檢視風險，金融也是一個關鍵基礎設施，透過舉行工作坊、相關地圖檢視金融單位不同的流程間如何連結，連帶造成何種效應，藉此設計更有效的演練，來檢視金融機構跟設施之間的相互操作性。

由於烏俄戰爭持續一年多，雙邊的網路攻防也成為外界關注議題。薩蒙瑞伊表示，OCCIP多年來跟許多政府機構，包括各國央行、銀行等合作，提升資訊安全和韌性，美國政府也會即時提供金融機構跟基礎建設等相關資訊交換與交流，畢竟祭出技術制裁之後，是否會對國內基礎建設產生影響，也需要密切關注。

辨識潛在風險 企業積極作為抵抗網路攻擊

在專題演講結束後，薩蒙瑞伊也與國內的金融機構業者互動，近年來與金融業相關的資安事件及謠言甚囂塵上，有業者問及，如何研擬推動相關政策並進一步強化金融穩定度？

薩蒙瑞伊建議，要能辨識潛在風險，其實謠言攻擊並未如此有效，可以跟更多合作夥伴分享資訊，來防範有敵意國家或有心人士的攻擊；另在受到衝擊時，OCCIP會匿名與相關單位合作，分享目前狀態，提升到全國層級的因應機制，甚至是跨國合作。

由於金融機構面臨新興科技及人工智慧（AI），如何兼顧風險又能享有新興科技帶來的益處；又美國州政府對加密貨幣抱持開放態度，並不會嚴加監管，但加密貨幣已被駭客或其他不法集團濫用，主要因其匿名性又防竄改，如何權衡開放或禁止的利弊得失？

薩蒙瑞伊回應，新科技日新月異，因應之道要與時俱進，目前OCCIP正開始思考金融服務業推動AI時會有哪些優缺點，基本上採取中立態度，如何放大好處、降低風險會是未來關注的重點。

至於加密貨幣問題，他也不諱言，並不樂見此狀況，特別是中小型企業，遭遇勒索軟體攻擊，由於受限規模，人工僅1至2名，可能花費2,000美元就會復原，實際若想回復正常樣貌，就要花費到1萬美元，是小型企業難以承擔的，期待企業對勒索軟體或分散式阻斷服務（DDoS）要有敏感度，最好有積極作為，才能抵禦相關攻擊。

提供量身訂作計畫 國際級實體網路演練

值得一提的是，OCCIP曾於2020年11月發布《G7網路演練計畫的基本要素》（G7 FUNDAMENTAL ELEMENTS OF CYBER EXERCISE PROGRAMMES），針對公共和私人金融部門，提供執行實體網路演練所需的完整作業項目。

OCCIP表示，金融部門對於提供大多數金融服務，已經越來越依賴資訊技術服務及其單位間的相互依存關係。無論是「惡意的」、「無意的」抑或其他因素，發生中斷金融服務問題時，都可能對組織提供關鍵服務的能力造成重大影響，所以G7網路專家組（G7 Cyber Expert Group, CEG）意識到，為了更深入了解這層依存關係和組織處理在發生事件的應對及恢復能力，主要需要推動公共和私人金融部門對於網路事件回應和恢復，需要進行實體的定期演練。

為了協助金融部門，CEG發布網路演練計畫及其基本要素，提供公共和私人金融部門執行實體網路演練所需的完整作業項目，但不強迫各單位都需要依該計畫執行。

OCCIP的《網路演練計畫的基本要素》設定不具約束力的高標準的構建模組，可作為指導與內部和外部利益相關者建立網路演練計畫的工具，同時可作為跨法制和金融部門建立網路演練計畫的指南。藉由該文件的發布，CEG的目的在提高G7法制單位於金融部門進行網路演練的能力，以測試其事件管理能力。此外，該計畫也鼓勵G7以外的個別金融部門組織和法制單位，在該項工作的基礎上，加強國際金融部門的復原力。

雖然不具法律約束力，但《網路演練計畫的基本要素》為制訂和運行演練計畫安排了明確、有效的作業，金融機構和官方單位都可以應用。該指南針對不同單位量身訂作，如法制單位以及不同規模或級別的公司。

應對金融復原 組織和個人演練要素有別

至於G7網路演練計畫的基本要素分為組織和個人共兩個部分，一是概述制訂多年期的演練計畫基本要素，該計畫包括多種演練類型和格式，這些演練類型和格式相互依存，以提高組織的事件回應、恢復情形和能力；二是概述在網路演練計畫中構建、進行和評估個人演練的基本要素。

在組織演練計畫的基本要素中，OCCIP認為，組織能夠採用持續改進模型，遵循週期性方法，包括演練、評估、改進，然後重新演練。演習計畫有助於了解實體應對網路事件並從中恢復的能力。可分成四階段進行演習，一是使組織能夠透過應對日益複雜的風險情況，逐步加強其網路準備；二是制訂關鍵風險指標和措施，以改進事件管理流程和程式；三是確保對優先事項、威脅和風險達成共識；四是驗證事件恢復功能或對事件恢復功能進行基準測試。

OCCIP指出，組織可能需要制訂一系列演練，以有效地衡量響應網路事件並從中恢復的改進情況，包括涵蓋組織的所有必要操作和相應的網路威脅，評估必要的應對政策、程式和能力，推動響應和恢復改進，捕捉隨時間推移的改進。

另在個人演練的基本要素，OCCIP認為，演習為計畫、流程和程式的排練和評估提供一個低風險、無故障的環境，並允許負責事件管理的人員熟悉自身在事件期間的角色，以及會面和建立關係並了解其他人可能如何處理事件。

OCCIP提到，由於方案內的個別活動在規模、類型、複雜性、目標或重點領域方面可能有所不同，為了進行有效的演練，通常建議以演練設計與開發、演練行為和演練評估等作為三大元素。