數位經濟下的金融業如何因應資安風險
「我們今天能做什麼來更加贏得客戶的信任?」世界經濟論壇數位委員會成員之一的 Matt Chiodi 明確表達,數位信任必須透過完整的驗證過程作為支持,企業必須贏得利害關係人信任,無論企業從事什麼活動,其最終目標必須回答這一個問題,而將答案落實到行動上的企業,將在未來取得競爭優勢,例如獲取市佔率、強化獲利能力,以及提升員工敬業度與客戶滿意度。
數位轉型下,隨之而來的資安問題、網路風險該如何防範?數位信任的架構如何被制定與運用?一起來看文章分享~
數位經濟迫使企業建立風險框架防範資安危機
世界經濟論壇(World Economic Forum, WEF)指出,數位信任為「個人對於數位科技與相關服務提供者對於社會與其他利害關係人保護的期待」,由國際電腦稽核協會(Information Systems Audit and Control Association, ISACA)發表的《2022 年數位信任現狀》(State of Digital Trust 2022)調查結果顯示,數位信任度不佳的組織容易導致聲譽下滑(62%)、隱私洩露數量上升(60%)、資安事件數量上升(59%)、客戶流失(56%)、營收受到負面影響(43%)、以及創新速度減緩(36%)等挑戰。可惜的是,有 98% 的組織認為數位信任重要性高,但僅有 12% 的組織設有專門負責數位信任的職位,顯見改善空間仍相當大。又因數位信任涵蓋的議題廣泛,觀察各國政府政策作法或許有助於了解未來佈局之切入點。為使組織與企業更能夠明瞭數位信任的落地作法,世界經濟論壇因應需求提出「數位信任架構」(Digital Trust Framework)。所謂數位信任架構可視為「從內部 IT 風險管理出發,向上發展至共享 IT 資源的風險管理,再到數位活動與組織聲譽的管理,進而實現數位信任的過程」,並且分為三大策略方向與八大構面:三大面向為「安全與可靠性、包容&道德&負責任、當責與監督」、八大構面則包含「資安、隱私、透明度、準備度、可稽核性、公平性、安全性與協作能力」。
從個人、企業到國家而論,資安重要度提升的趨勢下皆應擬定相關架構與作法,而數位信任架構提供企業在制定策略時一個放諸四海可用的框架。當前的數位安全風險評估都是企業自願進行、框架亦是自願錯用,但隨著越來越多的監管制度發布,法規可以是涵蓋大規模風險管理的範疇之一,例如:歐盟數位服務法案下的系統性風險評估,也可以著重於特定權利(如:數據保護影響評估)、技術(如:歐盟人工智慧法案)或弱勢群體(如:英國適齡兒童法案設計規範),其他國家像是澳洲、新加坡、英國也紛紛推出網路安全法案因應。
金融業需特別降低網路攻擊造成的潛在損害
資安不只是產業議題、更是國安議題,2016 年 2 月駭客以孟加拉國央行為目標,利用全球金融體系主要電子支付信息系統 SWIFT 的漏洞試圖竊取 10 億美元,儘管大多數入侵已被阻止,但仍有高達 1.01 億美元遭竊。這次搶劫也敲響金融界的警鐘:金融體系嚴重低估系統性網路風險的安全問題。2020 年 2 月歐洲央行行長、國際貨幣基金組織警告:網路攻擊可能引發嚴重的金融危機,2020 年 4 月金融穩定委員會 (FSB)則認為,重大網路事件如果得不到妥善遏制可能會嚴重擾亂金融系統,包括關鍵的金融基礎設施進而廣泛導致金融穩定受到影響。根據國際清算銀行調查,金融產業正在遭受與 COVID-19 相關的網路攻擊,佔比第二大、僅次於醫療衛生產業。疫情後的數位轉型提供駭客攻擊的機會,其他有心人士也藉此對全球金融體系、金融穩定和系統完整性的信心帶來相當大的威脅性。如今,重大網路攻擊對金融穩定所構成的威脅評估「不是是否會發生的問題,而是何時發生的問題」。
未來金融業應該會發生更多的攻擊,且攻擊手法更加精密,最令人擔憂的是破壞財務數據完整性的事件,例如:記錄、演算法和交易;目前針對此類攻擊的技術解決方案很少,這些攻擊有可能更廣泛地破壞信任和信心。而攻擊背後的惡意行為者包含越來越大膽的犯罪分子(如:Carbanak 組織,該組織以金融機構為目標,在 2013-18 年期間竊取了超過 10 億美元)以及國家和國家支持的攻擊者,例如:北韓在過去五年中從至少 38 個國家竊取了約 20 億美元。
當前面臨的問題是金融、國家安全和外交界間的合作並不緊密,金融系統面臨著來自網路威脅的風險,但他們與國家安全機構的合作通常不強。可以預期的是,未來應該會發生更危險的攻擊與隨之而來的衝擊,國家安全機構如何參與及應對資安議題是目前首要的思考,而這種責任落差與保護全球金融體系角色的不確定性無疑造成金融風險的加劇。
金融業者須辨識的駭客種類與目的,資料來源:世界銀行
金融業的常見資安風險有哪些?
根據 Cybersecurity Ventures 調查,截至 2022 年底網路犯罪為全球造成約 7 兆美元的損失,牽涉範圍不僅是資金盜取、數據洩露,駭客攻擊每年也造成金融機構的重大損失。在金融科技發酵下,多數金融交易都發生在各種數位平台的網路空間中,舉例來說頻繁的數位交易使銀行與支付機構更容易受到駭客的攻擊,常見的攻擊方式如下:
(一)勒索軟體
根據調查,2020 年 3 月至 6 月期間針對銀行的網路釣魚和勒索算體攻擊與 2019 年同期相比增加 520% 。勒索軟件是一種網路攻擊,犯罪分子或駭客透過複雜的加密訪問並鎖定系統的主要用戶,在要求一次性給付贖金後才允許用戶繼續使用文件;如果企業並未採取備份措施,在面臨勒索軟體圍攻的組織可能會造成營運長時間癱瘓。同時,支付贖金並不能保證他們可以重新使用系統或將來不會受到攻擊,部分駭客可能一再重複類似攻擊手法或持續鎖定同一個對象攻擊。
(二)雲端網路攻擊
當前越來越多的數據儲存在雲端中,吸引駭客增加對伺服器的攻擊。金融業者必須在投入數位轉型與避免資安事件中取得平衡,以防止可能導致資金和數據遺失的違規行為。
(三)軟體供應鏈攻擊
網路犯罪分子有時可能會瞄準軟體供應商,利用它們向客戶傳遞有關更新或產品的消息。這些消息看似合法,但實際含有惡意程式碼,使犯罪分子能夠依此進入客戶網路、並造成大規模病毒感染。因此,金融業者需要建立零信任架構保護自身免於受到這些攻擊,零信任架構遵守「永不信任,一律驗證」的原則,運用多項網路安全性方法,包括:網路分段與嚴謹的存取控制,來遏止外部駭客入侵。
2 大經典企業案例分享
這裡整理摩根大通和淡馬錫控股 2 大案例,幫助大家瞭解企業在面對資安事件的應對措施:
(一)摩根大通積極採用人工智慧與雲端提升資安防護力
金融巨擘摩根大通每年花費約 6 億美元在安全工作上,僱用約 3,000 名資安安全人員並認為「雲端與人工智慧是提升資安防護力」的重要組成。
- 以人工智慧而言:執行長戴蒙認為,人工智慧 (AI) 與機器學習 (ML) 正在協助金融業者降低風險和詐欺、提升客戶服務體驗、強化公司的營運體質,而該銀行有兩個重要的人工智慧項目:Algo Central 和 DeepX。Algo Central 是一個交易平台,其算法目的為允許客戶使用預測分析來定制訂單,並在交易進行時改變速度和執行方式;DeepX 利用機器學習來協助公司的全球股票算法以執行每天 1,300 支的股票交易。
隨著摩根大通將 DeepX 推廣到新的國家,該數字正在不斷提升,而這些專案本身也需要建立強大的資安防線。公司遵循三大方針進行,包含:缺刃技術如何成為商業戰略投資的核心部分,而不是單獨使用;透過關注科技投入的短期回報來提高可信度,但在執行方面保持透明和嚴格;明確闡明資安不是主要投資領域,但依舊需要固定支出來維持創新的技術的價值。 - 以支付的資安措施而言:公司明確指出支付過程中的所有點都必須受到保護,銀行合作夥伴則是這一連續體的重要組成。摩根大通利用最先進的尖端技術來檢測高額和低額支付類型的欺詐行為,因此公司採取多層方法來保護客戶的資產:
第一安全層利用先進的功能和合作夥伴關係保護周邊;
第二層側重於現金管理,以訪問形式與門戶、合作銀行和業務線直接進行鏈接;
第三層涉及支付機制監測,涵蓋後台支付系統控制;
第四層側重於內部技術,像是創新行為分析、詐欺檢測與電子郵件控制系統;
第五層為建立多層驗證體系,建立安全、無縫的客戶端驗證體驗;
第六層為災後復原,著重於資安事件發生後如何在最短時間內具備復原能力;
而在六層措施的相互整合下,此類全面性的方法使摩根大通能夠向客戶聲明:客戶在所有付款流程中皆具備資安措施。除了外部的各防護機制外,針對內部的破壞威力影響,摩根大通對亞太地區 200 多家企業和金融機構客戶進行的一項民意調查顯示,近 92% 的受訪者認為「防止社會工程和網路釣魚企圖」的最佳方法是培訓和教育員工不要點擊網路釣魚鏈接並重新導向至不受信任的網站,這部分也是公司積極培養各員工具備資安意識的重頭戲。
值得一提的是除了原先的資安措施外,公司也在觀察量子技術在資安的應用為何。在量子資安上,公司的應用研究與工程未來實驗室 (FLARE) 和全球網路基礎設施團隊帶領合作。摩根大通正關注量子運算中存在的新興威脅:量子駭客,並開始檢測數位基礎設施中的脆弱部分,將這些數據傳到數據庫中,以在硬體、軟體上評估哪些地方需要改善。由於當前公開金鑰加密(Public-Key Encryption)系統保護數十億位元資料的交換,雖然目前並無巨大外部威脅,但未來若量子電腦發展成熟,則可能用相較現在電腦百萬倍的速度攻擊公開金鑰加密系統,屆時可能造成嚴重破壞。
對於新加坡這樣的小國而言,任何一點的關鍵基礎建設遭受攻擊都非常有可能癱瘓經濟發展,甚至讓社會陷入恐慌。有鑑於此,量子工程計畫透過硬體與特殊加密演算法來防患未來可能的量子電腦攻擊。而實際投入試驗的技術分別有:量子密鑰分發(Quantum Key Distribution)與後量子密碼學(Post-Quantum Cryptography),前者為量子透過安裝硬體裝置來接收量子訊號,後者則為能抵禦量子電腦攻擊的新型演算法。
(二)新加坡淡馬錫控股自建資安生態系助人利己
1974 年成立的淡馬錫控股是新加坡的國家投資機構之一,身為官股民營型態的投資公司,淡馬錫的營運以建立敏捷組織與賦予經理人靈活的自主決策權所聞名。根據 Sovereign Wealth Fund Institute 指出,該公司的資產高達 4,800 億美元(約 15 兆新台幣)。過去的 48 年間,該公司已投資全球數百家企業(包含:新創、中小企業與上市公司),但近來淡馬錫展開一項全新的變革—— 建立創新生態系,並提供產業各式科技解決方案。
雖然當前企業在新創合作方面相當盛行,但大型企業與新創合作時經常在思維、流程、作法上有所差異,繼而在爾後的策略投資(Strategic Investment)或併購(Mergers and Acquisitions, M&A)上造成阻礙,因此值得參考 ISTARI 的做法。ISTARI 本身集投資、訓練、市場進入、商業夥伴合作於一體,在經營團隊與投資人員資歷上,除大型科技業與金融業的高階經理人外,也不乏資安長(Chief Information Security Officer, CISO)與技術長(Chief Technology Officer, CTO)等角色,亦有連續創業家的支援,在資安產業跟產業資安領域可說是相當完備。這樣做的好處是:被投資的新創在受 ISTARI 協助的同時,能擁有了解新創與大企業做事方式的引導者,從簡單的概念驗證到後期的國際市場拓展、以及各產業進入所需的領域知識一應俱全。有別於一般企業成立孵化器或加速器,淡馬錫採取漸進式做法:將新創控股化、串連被投公司作為試驗場域,從中取得成功的解決方案。
在資安領域,以其投資組合之一的 ISTARI 為代表性案例。ISTARI 以旗下投資的資安新創作為出發點,透過與淡馬錫旗下的其他企業合作,測試新創解決方案成效。而 ISTARI 也可以成為其他資安新創的顧問,透過一層層橫向與縱向的合作,淡馬錫可輕鬆將數百家的被投公司設為 ISTARI 的應用場域。這樣的做法對資安新創有何益處?可從兩大面向進行分析:ISTARI 擅長槓桿內外部合作夥伴支援能力來協助新創成長,可分成創新資安合作夥伴(Innovative Cyber Partners)與投資型合作夥伴(Investment Partners),其中創新資安合作夥伴是「被投資新創」、投資型合作夥伴則為「投資方」。
投資型合作夥伴中,風險投資工作室的應用對於 ISTARI 與淡馬錫本身相當重要,過去的孵化器是以一年 1 至 2 輪的方式招募新創,雖然提供業師資源,但主要的目的為協助新創快速成長並畢業,重視的是單一新創的規模化。風險投資工作室的重點則是一年超過 2 輪的方式遴選特定類別技術團隊(尚未成立公司),結合風險工作室的專業團隊,如:敏捷專家、技術專家、市場開發專家、法務、財務等人員,快速設立新公司,同時拓展市場。這樣的方式不但讓許多技術團隊能走入商業化,也能深度挖掘潛在標的。
不難看出 ISTARI 的策略是運用新創經營思維來協助新創團隊,降低溝通成本與合作上的潛在失敗機率,同時透過外部協作夥伴在新創團隊初始即展開國際營運。而母公司淡馬錫則可利用這些資安新創協助其他需要資安服務的產業,同時鼓勵新創至新加坡設立營運據點、服務更多產業客戶,兼顧新創投資與國家產業發展,可謂一舉多得。對淡馬錫的優勢可分為 2 點說明,這種方式一來可降低採用資安相關解決方案的成本,甚至讓這些新創的解決方案與大型科技業者(如:微軟)有更多技術上交流,第二部分是,由於該公司旗下有許多被投資公司,也涵蓋許多成熟企業與金融科技新創,這些企業對於 ISTARI 而言是相當好的客戶來源,且切入市場門檻也較低,屬於多贏的局面。
馬克碎念
我們可以看到隨著數位化的進程加快,金融業的資安風險也在不斷增加。這不僅僅是因為數位化帶來的技術挑戰,更是因為在數位經濟下,金融業的業務模式和營運方式都在發生變化,這無疑為資安風險的防範帶來了更大的挑戰。因此,我們需要思考的是,如何在保護資安的同時,也能夠確保金融業的數位化進程不受阻礙。
隨著資安風險的增加,金融業的風險管理模式也需要進行調整,台灣金管會也推動三項政策,包含設置資安專責制度、導入國際資安管理標準如ISO 27001認證,以及建立相關資訊安全管理機制,希望能兼顧新科技的資訊安全,擴大數位應用,也降低資安的風險。
總的來說,數位經濟下的金融業資安風險防範是一個需要我們深入研究和探討的議題,需要從多個角度來思考和解決這個問題,包括技術、業務模式、風險管理等等。只有這樣,我們才能夠在享受數位經濟帶來的便利的同時,也能夠確保金融業的安全和穩定。
