機構與人才篇》鋪天蓋地監理聯防

隱形使者──金融資安資訊分享與分析中心

為防護資安，上自總統府、行政院，下至各金融單位皆努力完善相關法規、行政團隊，以及投資、人才等各方面建構，期盼早日落實建立國家及金融體系的堅實防護能量。

基於「資安即國安」之理念，2016年起上自總統府啟動國家整體資安框架，在總統府國家安全會議成立資通安全辦公室（簡稱「國安辦」），行政院隨即成立資通安全處（簡稱「資安處」），府院相輔相成、聯合作業，統合政府各機關全面推動國家資通安全工作。在金融領域，行政院團隊中負責金融監理的金管會，早先已在關注先進國家制定網路安全相關指引、積極研議設立資安相關機構，落實金融體系資安防護能量的提升。

在國際趨勢、府院全面規劃的前導下，金融資安資訊分享與分析中心（Financial Information Sharing and Analysis Center, F-ISAC）於2017年12月22日掛牌。當時共同揭牌的部會首長，有金管會主委顧立雄、國安會資通安全辦公室主任廖述煌、行政院資通安全處處長簡宏偉及財金公司董事長趙揚清等，根據金管會歷史記載，揭牌活動現場也邀請台灣駭客協會、TWCERT、國網中心等。當年的金管會主委顧立雄，如今已升任為總統府國安會秘書長，肩負「資安即國安」戰略之重關幕僚，輔助行政院推動並完成《資通安全管理法》、成立資通安全署，以及國家資通安全研究院，顯示資安防護拉高到國家層級，需完善的相關法規、行政團隊，以及投資、人才等方方面面的建構。

「F-ISAC的成立及行動落實，要引領金融資安揮別單打獨鬥，協力營造金融資安聯防體系！」這一句話完全說明F-ISAC的重責大任與行動方綱，不僅金管會前主委顧立雄在掛牌時強調「這是我國金融資安邁入新里程碑的開始」，全面打造真正的資安防護網，並做到資訊強國的目標；接棒繼任金管會主委的黃天牧，至今亦定錨為政策主軸，親上全國資安大會報告最新進度，今（2023）年2月首度召開金融機構資安長聯繫會議，邀集在第一線負責資安規劃的資安長，就當前重要資安政策措施、資安監理重點、資安情勢及資安聯防等議題交換意見，參與成員來自銀行業、證券商、保險公司及周邊單位多達79家業者。

跟進國際趨勢 成立F-ISAC金融資安大平台

「ISAC」（Information Sharing and Analysis Center）雖是國際上重視資安之政府的標配單位，歐美國家於晚近20年甫拉高到國家層級，為的亦是此期間數位經濟帶來的環境變遷，有必要建立國家層級的資安防禦架構，國家級或部會級之規範指引或監理措施，因應資安風險。特別金融領域，面臨資安議題日漸嚴峻，傳統個別金融機構單打獨鬥的防禦模式已無法因應資安威脅，有必要透過資安聯防機制，以提升資安防護之綜效。

以美國為例，2003年成立National Council of ISACs，由27個組織組成的「協調機構」，除了政府之間的資安訊息交流，「極大化」民營部門關鍵基礎設施與政府之間的資安訊息共享與交流，幫助關鍵基礎設施所有者和運營商保護其設施、人員和客戶，免於受到網絡和實體安全威脅危害。美國ISAC的作業準則，以收集、分析並向組織成員提供「可採取行動」的威脅訊息，意即危及資安之事件出現時，向組織成員通報過程亦建議解決方案，為成員提供降低風險和增強應變。

台灣的F-ISAC聚焦在金融領域，成立當初即由金管會委請財金資訊公司營運，服務對象涵蓋銀行、保險、證券期貨、投信投顧等金融業別單位，「全體金融機構及各資安領域專家一起參與，是最大必要！」，而財金公司亦規劃與更多的資安專業團體及廠商合作，與國際F-ISAC進行交流，整合建構金融資安聯防體系。

「提升金融資安量能，要打團體戰！」，總統蔡英文6月29日在「台美金融資安論壇」開幕致詞時，特別強調政府會以打團體戰的作法，一起提升金融資安量能！蔡總統亦談到，F-ISAC在2019年加入美國相關體系，合作分享金融資安訊息，2022年1月起也成為美國資安事件應變及安全小組論壇（FIRST）會員，並且和許多國家的金融資安單位簽訂MOU、建立合作管道，進一步擴大台灣金融資安的國際合作。

資安訊息分享會員機構 不只參考、更要聯防

根據金管會賦予F-ISAC的工作，包括蒐集國內外金融資安情資進行分析，提供金融防聯及警預資情，作為金融機構強化資安防護工作的參考。F-ISAC的「服務功能」，包括提供通報、情資研判分析、資安資訊分享、協處資安諮詢與評估、研討會教育訓練，及國際交流、協助資安事件應變處理、金融機構資安演練、協助資安規範評估與建議等9大項，「扼要說，資安聯防有『事前』，『事中』，『事後』」，金管會官員形容之。

一如資訊專家慣常在工作上低調，F-ISAC成員極少對外發言，年度舉辦的全國資安大會成為外界理解該單位發展進程的主要管道，較多時候還是金管會首長出面報告，例如2020年金管會主委黃天牧專題演講，以社會學的「集體韌性」（Collective Resilience）概念，來形容F-ISAC及其金融資安聯防的重責；2021年大會由金管會資訊服務處長蔡福隆，說明金融領域ISAC（F-ISAC）的維運經驗與情資分享現況。金管會也會在每年年底政策回顧時，公布部分F-ISAC的工作成績單。

綜觀F-ISAC的資安聯防，從「事前」的防患未然著手，F-ISAC會彙整分析全球資安事件情資，發布駭客威脅預警，並培育資安專業人員，讓金融業者得以事先防範。以7月下旬網路上大量出現偽冒我國金融機構網站及行動應用程式的情資，5、6家知名金融機構都捲入。實際上，類似網攻現象今年3月以來即大量冒出，F-ISAC持續統整訊息、通知會員，並對外發布。

F-ISAC的第二大工程，為「事中」的防微杜漸，建置金融資安聯防監控中心（F-SOC）二線金融資安聯防監控平台。F-ISAC項下的F-SOC，負責收集彙整各金融單位發生的資安事件資訊，作為威脅示警、關聯分析及歷史資料查詢之用。金融業者可藉由F-SOC提供的95項監控規則，進行資安防護盤點、確認可辨識資安威脅；而F-SOC藉由金融業回傳的事件情資，比對、分析可疑攻擊來源，了解金融業目前所面臨之威脅狀態。F-ISAC據此制定資安事件，規劃聯防監控規則。在這階段，F-ISAC會邀請金融業者進行資安演練，有金融業內的「金融DDoS攻防演練」，亦多次有多家業者參加行政院跨國攻防演練（CODE）。

至於「事後」的處理，亦即資安破壞已真實發生，F-ISAC的任務轉進為「降低傷害」，由金融資安事件應變支援小組（F-CERT）協同資安廠商提供應變處理服務，協助金融業者進行損害控制，期能降低損害，盡早恢復金融服務。及至2022年底，F-ISAC會員數達339家，金管會管轄之重要金融機構均已加入，金控集團、同業公會、證券暨期貨市場均有電腦緊急應變支援小組（SF-CERT）聯合F-CERT，協助個別金融機構之資安事件應處。

在金管會首場資安長會議中，資安長們對F-ISAC經由會員分享掌握專屬我國金融資安情資表達肯定，也對持續辦理的資安實兵演練，期待持續精進與多元，在量能上亦可擴增，讓更多的金融機構及資安人員參與，進而增進跨產業的資安事件情資分享。

設備不投資、人才也缺乏 大幅限制了聯防的想像

綜觀之，金融業者懷抱大志、對資安聯防行動有所期待，然而巧婦難為無米之炊，金融服務現場對於新科技使用，必然需要有相對應的配備、風險控管要掌握及內控的設計要到位，人才供給亦應一起提升。歷年來的金融科技白皮書一再提醒，金融機構資訊化或產業數位轉型皆涉及軟體建置、開發與運用，不僅核心大系統多仰賴國外廠商，新技術人力投入更是不足，在資安議題上更是捉襟見肘，總統蔡英文對此亦有所體悟，公開向金融機構董、總座表示，「我要拜託各位，跟政府一起協力打造更強韌的資安防護體系！」蔡總統指出，金融機構要提高防護力和應變力必須要投入很多的成本，且沒有短期可以量化的收益，管理階層應堅持落實資安，提供適當的資源，保護金融機構、企業和客戶，資安就會成為金融機構很大的資產。

金融機構要肯投入資金，資安人才的計畫性培訓更是輕忽不得，「偏偏市場上的資安人才『奇缺』」，台灣金融研訓院副院長林仲威說，F-ISAC成立4年有成，但資安防護只能低調、小組成員做的更多是「下水道工程」，隨著全球資安威脅大幅提升，資安部門工作量大增、卻不一定能在組織中凸顯表現，造成高階主管人才需求急劇增加。

對此，作為金融機構人才培訓大本營的金研院，今年與財金公司共同啟動「金融資安高階主管儲訓計畫」（Cybersecurity and Information Security Executive Program, CISE），以國家標準暨技術研究院（NIST）標準與F-ISAC資安培育藍圖框架為根基，培訓主軸圍繞在金融產業營運所需網路禦敵與資安預防管理，以及治理規劃應備知能。

林仲威表示，CISE以五大模組課程，提供全面性、系統性的金融資安高階主管核心職能學程，上課地點就在金研院的芬恩特創新聚落，能進行小組個案研討、亦有單機演練，過去以來一直是金融資安演練場域，如今已作為資安長的重要培訓基地，並將繼續集結各方力量，共同培養資安人才、建立資安聯防梯隊。其中，因資安防護必須保持低調，金控董總無法理解，不肯提撥經費資源、或要求設立不可能達成的KPI，林仲威說，在結訓考題中新增「董事會溝通」兵推，驥期對於提升金融資安量能有實際成效。