金融科技
2023年12月
強化金融產業鏈韌性 刻不容緩
金融資安即國安!
在台灣的資本市場,程式交易、高頻交易已漸趨主流,雖然有些程式已內建避險機制,但虛假訊息危害還是很大,台灣金融產業應設想對岸可能的攻擊路徑,並改善自身的弱點,建立預警系統,擬訂各種應變計畫,不斷演練。
為讓金融從業人員更清楚認識中國襲擾,以及了解人工智慧(AI)日益普及對金融業的影響,台灣金融研訓院舉辦「國家安全架構下的金融資安與韌性」研討會,以提高對危機的應變意識與能力。
金研院金融研究所所長林士傑表示,金融科技快速發展,雖然帶來便利,卻伴隨前所未有的風險,跨國網路攻擊現已是台灣金融秩序穩定的重大威脅,「在國家安全的框架下,強化金融產業資安與韌性,實已刻不容緩。」
林士傑指出,「國家安全架構下的金融資安與韌性」研討會聚焦於國際地緣政治風險如何影響台灣金融產業,及政府應如何調整AI監管政策,以強化金融安全,並邀請金研院資深研究員陳鴻達、前美國代理陸軍部長John Whitley、星展銀行資訊安全部資深副總裁李嘉銘等,發表專題演講。
金融業位處國際地緣政治衝突前線
陳鴻達演講主題為「地緣政治下的金融風險劇本」。他表示,在國際地緣政治衝突時,可引發社會動亂、破壞人民對政府信任的金融戰,必將是前哨戰,「台灣金融業已位於國際地緣政治風險的最前線,駭客攻擊已成常態,自當居安思危。」
「金融戰可造成遭到攻擊國家金融業服務中斷,民眾爭相到金融機構擠兌,股匯市大幅震盪,資金大舉外流。」陳鴻達歸納,金融戰可分為網路戰、實體戰、市場操作等3大類型,網路戰包括竊取資料、干擾金融服務等,實體戰則為攻擊金融機構營運場所,市場操作則是運用各種手段,擾亂金融秩序。
中國是台灣的最大威脅,陳鴻達直言,中國對台灣的金融戰,現以網路戰為主,但台灣應提防的是,中國已在美國建立網攻中繼站,不動聲色地蒐集各種資料,等待D-Day(作戰日)時,再發動總攻擊,讓台灣措手不及。
「刻意傳播假訊息,亦是常見的網路戰策略。」陳鴻達表示,在烏俄戰爭前夕,俄羅斯對烏克蘭民眾散布手機簡訊,內容為「ATM已無法領錢」,意圖打擊烏克蘭民心士氣,更在網路上散布「烏克蘭總統宣布投降」等假影片,「假訊息、假影片過於離譜,殺傷力反而較低;殺傷力最高的,其實是似是而非的訊息、影片。」
陳鴻達憂心地說,在台灣的資本市場,程式交易、高頻交易已漸普遍,雖有些程式已內建避險機制,但假訊息危害還是很大,「台灣金融產業應設想對岸可能的攻擊路徑,並改善自身的弱點,建立預警系統,擬訂各種應變計畫,不斷演練。」
「台灣金融研訓院、國家資通安全研究院、國防安全研究院及資策會將合組金融資安四院聯盟。」陳鴻達透露,此聯盟將研擬金融資安兵推演練、網路演練計畫、D-Day應變計畫、金融韌性演練計畫、零信任架構攻擊演練計畫,供金融機構參考,「還將擘建金融資安靶場,供金融機構實際操練。」
借鏡美國防禦機制強化安全
在「國家安全架構下的台灣金融產業」演講中,John Whitley提醒,今日國際局勢相當嚴峻,台灣人應嚴肅以對。他強調,先前中國鎮壓香港民主運動,足證它不滿足一國兩制,而烏俄戰爭意味著,被孤立的獨裁政權可能採取不理性的舉措,「台灣除了提高軍事預算外,延長義務役服役年限,還得強化整體防禦。」
John Whitley提醒,以駭客攻擊台灣金融產業,是中國文攻武嚇的一環,倘若兩岸緊張局勢升級,台灣金融業亦將是首批遭攻擊的目標之一,而訪查台灣金融業,發現8成以上從業者都曾遭遇中國駭客攻擊,「台灣應評估,如果中國駭客攻擊,導致金融機構癱瘓,應如何處置、善後。」
「美國的防禦機制值得借鏡。」曾位居美國軍方要津的John Whitley表示,美國每個部會都有專責單位,負責不同產業的關鍵基礎設施保護計畫,並協助業者訂定應變步驟,以防範恐怖攻擊或戰爭,「每個攻擊事件都是獨一無二的,無從預測起,政府應與金融業者集思廣益,預想各種可能情境,制定這些情境的因應方案,以期當真的遭遇攻擊時,不會驚惶失措。」
除了訂定應變步驟,還得實際操練,進行壓力測試,才不會淪為紙上談兵。John Whitley認為,台灣應注意各項金融數據是否有不正常的波動,更要與其他國家建立夥伴關係,以獲取恐攻、戰爭情資,「金融業應演練,如果網路遭中斷,如何以紙本作業,維持基本營運。」
「攻擊不一定來自外部,也可能來自內部,中國的滲透是無孔不入。」John Whitley強調,台灣政府應強化相關政策,防範中國收買台灣金融業從業者,擔任其內應或間諜,「除此,中國經濟正走下坡,為保護自身產業,可能凍結台灣人在中國的資產,危及台灣資本市場的穩定性。」
運用AI應遵循6大核心原則
AI普及化帶來的風險,與中國文攻、武嚇,都是台灣應正視的國安級危機。在「AI金融科技中的監管考量」演講中,李嘉銘指出,台灣政府已著手制定《AI倫理與基本法》,未來將分別落實於通用領域、個別領域,「在金融領域,由金管會訂定〈金融領域AI應用指引〉,而銀行公會則訂定〈金融機構運用人工智慧技術作業規範〉。」
日前,金管會已公布「金融業運用人工智慧之核心原則與相關推動政策」,確認金融業運用AI時,應遵循6大核心原則,依次為建立治理及問責機制、重視公平性及以人為本的價值觀、保護隱私及客戶權益、確保系統穩健性與安全性、落實透明性與可解釋性,與促進永續發展。
關於建立治理及問責機制,李嘉銘解釋,金融機構應強化員工AI相關知識,了解其運作、回應方式,並指定高階主管,建立、負責內部治理架構,而在開發、優化、使用AI時,應保留必要文件、紀錄,以用於監督、備查。
重視公平性及以人為本的價值觀原則,指金融機構在設計、開發和應用AI技術,應採取防止歧視之措施,如消除演算法內含的歧見,並確認人類可控制相關技術。保護隱私及客戶權益原則,則指金融機構於應用AI時,應符合現行法令,如《個資法》與金融相關法規。
確保系統穩健性與安全性原則,指金融機構在處理、儲存、傳輸與使用資料時,應採取保護隱私及資料安全之措施,並建立風險管理及定期檢視機制,且酌情委託第三方機構,出具評估報告。而應用生成式AI(Generative AI)時,對於其產出的資訊,應進行客觀、專業評估,以管控其風險。
落實透明性與可解釋性原則,指金融機構蒐集資料,或訓練或選擇AI時,應採取提升輸出準確性的有效措施,而為消費者提供AI自動化服務時,應明確告知消費者,並揭露相關資訊。
促進永續發展原則,則指金融機構應用AI提供消費者自動化服務時,應規劃相關意外應變措施,並由資安、法遵及風控等單位共同評估,還要考量國際永續發展綜合指標。李嘉銘補充道,此原則另一重點為,金融機構不可因使用AI而讓員工失去工作。
李嘉銘透露,根據銀行公會調查,國內銀行使用AI,多應用於機器人服務,其次為授信風控、客戶體驗優化與業務行銷,再其次為系統推薦、身分辨識、客戶樣態描繪,與客戶權益、企業活動通知,「不過,各銀行對AI的認定標準,迄今尚未統一。」
落實技術控管 提升數位信任
關於AI技術監控,銀行業與政府原本立場不一,經多次協商,終於達成共識,將監控範圍侷限於「對營運有重大影響者」、「提供客戶服務且影響客戶金融交易權益」、「與消費者直接互動並提供金融商品建議」等3大領域。
「為確保資安系統安全與消費者權益,未來將限定金融機構僅可使用可解釋AI(Explainable AI)。」李嘉銘建議,金融機構應找尋資訊工具,確認自家使用的AI,是否為可解釋AI,如果不是,可能就得「打掉重練」,「何謂可解釋AI?即專家可以理解其方法與技術的AI,並確認其判斷是否合理,是否符合現行法規。」
「金融業唯有落實AI技術控管,才能提升民眾的數位信任。」李嘉銘強調,金融機構在研發、應用AI技術時,都應以保護客戶資產為前提,如此方可降低相關風險,實現永續發展承諾。
