隨著臺灣金融科技技術愈發進步,許多資安風險也隨之而來。為了因應資安威脅與加強金融資安監理,於2020 年便開始推動金融資安行動方案1.0,並於今年發佈了升級版2.0 的行動方案。究竟金融資安行動方案會如何增進機構的資安防護、又會用什麼方式強化機構間資安防護網的連結呢?讓馬克帶大家一起瞭解吧!
近期金融資安威脅與金融資安監理趨勢
近來臺灣金融科技技術愈發進步,而金融業的市場也隨之變得更加智慧且開放,在各項金融科技產品運用之下,也提供了使用者更加便利的個人化服務。然而,在金融科技手段迅速發展的同時,各項資安風險也隨之而來,舉凡阻斷服務攻擊(DDoS)、進階持續性滲透攻擊(APT)與勒索軟體即服務(RaaS)等。面對資安攻擊,政府與企業必須擬定並時時更新即時性的危機處理作業程序,方有可能在攻擊入侵時全身而退;除此以外,先前新冠疫情肆虐之時,許多企業開放員工異地辦公,兵荒馬亂的即刻改變下,也更顯做好數位轉型與維持數位韌性的重要。准此,臺灣政府於近期持續推動金融資安行動方案,並提出金融資安監理趨勢準則,提醒各部門與企業應重視各階層資安職責、建立共通資安管理基準與評估機制、建構並實證作業抵禦風險能力,同時應持續提升資安防護與定期評估有效性。期許在不斷的演練與實證下,企業在面臨網路攻防時方能有靈機應變的能力,同時提升數位韌性,創造更安全的資安大環境。
金融資安行動方案1.0 的推動狀況
為了追求更安全且便利的金融服務,臺灣於2020 年8 月開始推動金融資安行動方案1.0。方案的具體措施包含形塑與強化金融機構的資安監理、深化資安治理與人才培育、建構資料保全避風港與加強相關演練、以及建立資安聯防監控與應變體系等;同時,此計劃亦以國際標準ISO 29115 為參照,導入多元金融身份驗證框架與標準。
金融資安行動方案1.0 自2020 年推展至今,在2022 年的主要KPI 已經達成86%、且主要目標均已達標。而其中約有14% 的特定項目需較長時間的期程(花費三至四年),目前在金融資安行動方案2.0 也正持續運作當中。
關於金融資安行動方案1.0 的具體內容,馬克也寫過一篇文章完整介紹,有興趣的朋友歡迎參考部落格:
https://www.markreadfintech.com/p/561
金融資安行動方案2.0 內容與推動重點
我國於2022 年12 月金融資安行動方案2.0 總共包含了九大重點,透過這九大要點提供金融機構目前遵守與防護資訊安全的依循準則。
(一)擴大資安長設置,定期召開資安長聯繫會議
有鑒於電子交易達到一定比例的金融機構,資安的防護對於營運影響十分重要,因此政府推廣擴大資安長設置範圍。資安長的職責包含掌握機構資安情勢、統籌資安政策推動與資源調度、及帶動組織重視資訊安全等。此外,為強化資安長職責,政府也積極規劃辦理資安長聯繫會議,以經驗分享交流與資安戰略研議推動為共同目標,在重大資安事件發生時方能即時優化制度並調動指揮。
(二)因應數位轉型及及網路服務開放,增修訂自律規範
1. 針對客戶身份識別
我國於金融資安行動方案1.0 時便引進了數位身分驗證等級國際標準架構ISO 29115 ,將網路身分驗證(eKYC)依照不同階段的機制區分信賴等級,並建立與業務風險對照的規範,以多元的方式驗證客戶身份(如:自然人憑證、雙因子認證、金融FIDO 等)。
2. 針對第三方服務商
針對核心資訊系統供應商或跨機構資訊服務之第三方合作廠商之風險評估及查核,以維護網路邊際與金融機構的服務韌性。
3. 針對異地辦公型態
數位時代的新興異地辦公型態崛起,更顯企業面臨新模式資安攻擊的可能性,舉凡DeepFake、勒索軟體與供應鏈攻擊等,機構應增強自身防護能力,面對攻擊時方能迅速處理、減少損失。
(三)深化核心資料保全及營運持續演練
1. 營運持續管理
金融機構應訂定核心系統備援並支持其業務持續運作必要之系統,同時應持續演練與進行壓力測試,並應訂定最大可容忍之服務中斷時間,營運持續演練管理。
2. 備援環境實作驗證
金融機構應訂定核心業務系統備援指引,如本、異地備援的實際運作,同時鼓勵機構與外部關聯單位進行資通系統聯合演練,以驗證災害備援之實務需求。
3. 核心資料保全
金融機構應強化核心資料保全機制,舉凡第三地與雲端備份、資料庫加密與分持,此外應加強資料復原性以及緊急時刻之關鍵服務持續性等。
(四)擴大導入國際資安管理標準及建置資安監控機制
金管會於2020 年便鼓勵金融機構應導入國際資安管理標準ISO 27001,透過第三方獨立機構檢視管理制度之有效性,以健全金融機構資安管理制度;此外,亦建制資安監控機制,明定包含監控範圍、作業程序、事件管理單位與通報應變機制等等。
(五)鼓勵資安監控與防護之有效性評估
運用DeTT&CT 防禦方法,將金融機構常用之系統設備,投放至MITRE ATT&CK 攻擊視角,並針對對應到的相關攻擊進行分析,以產出相關聯之金融機構資安監控規則,檢驗資安監控與防禦部署之有效性。
(六)鼓勵零信任網路部署,強化連線驗證與授權管控
參照世界重要國家政府推動之規劃,「零信任」概念已進入實務的部署。鼓勵金融機構導入身份鑑別、設備鑑別與信任推斷之三核心機制、同時循環監控,以因應不斷擴大的資安防護需求。
(七)鼓勵配置多元專長資安人才,擴大攻防演訓量能
鼓勵金融機構強化金融資安人才能力建構、重視人才配置,並鼓勵資安人員考取國際證照。再者,規劃導入美國資安專業組織MITRE 發布之攻擊防禦方法論MITRE ATT&CK & ENGAGE,並開設金融資安專班,以提升資安攻防戰術思維。
(八)提升資安情資分享動能,增進資安聯防運作效能
督導金融資安資訊分享與分析中心(F-ISAC)持續加強情資分析能力,並深化與會員間的情資交流;另輔導金融機構SOC導入依據網路攻擊訂定之資安監控組態基準,以增進資安聯防的運作效能。
(九)辦理資安攻防演練,規劃重大資安事件支援演訓
於策略推演面向,包含推動決策模擬推演,針對時間長短(連續式、階段式)以及特定功能進行推演;於技術操演面向,持續辦理包含分散式阻斷服務攻擊(DDoS)攻防演練、紅/藍隊演練與入侵模擬演練等,同時辦理網路攻防演練與競賽,以完善資安防護環境。
金融資安推動作法與未來願景
延續金融資安行動方案1.0,方案2.0 除了部分新增措施,亦有許多項目是持續推廣與擴大實施的。政府對於金融資安行動方案2.0 推動的作法包含:
1. 差異化管理:依照機構不同的規模與業務,給予不同程度的資安要求,循序漸進地推動管理。
2. 資源共享:創造完善的資源共享機制,建立機構間的情資分享、應變與監控體系。
3. 激勵誘因:對於做好資安防護的業者,給予降低經營成本的誘因,舉凡給予存款保險費率優惠等。
4. 國際合作:結合其他國家的資安組織,共同合作以交流情資並因應網路攻擊。
5. 公私協力:政府相關單位與各產業共同協力合作。
綜合以上所述,金融資安方案2.0 的推動願景為,提供安全、便利且不中斷的金融服務。在數位資訊不斷發展、金融科技日新月異之下,擁有完善的資訊安全應對方案更顯重要。對於金融機構資安的未來願景,政府除了期許能持續提供多元便捷的金融服務、創造安全穩定的數位金融交易環境外,更致力保護消費者的金融資產與個人資料隱私。同時,不管政府單位、金融機構抑或民眾,都應該培養自身縝密的資訊安全意識,不僅在網路服務使用上能更多一層警惕、面對資安攻擊時也方能有從容應對的能力。
馬克碎念
金融科技發展必須建立在安全基礎之上。雖然金融科技帶來許多便利,但同時也增加了資安風險。如果缺乏足夠的資安規劃和監控,將嚴重影響金融服務的可靠性和穩定性。因此,在推動金融創新時,政府與業者必須高度重視資安建設,並持續投入資源來確保金融交易的安全。
資安防護需要公私部門及民眾的共同參與。政府可以設定政策與標準,企業可以投入資源強化防護,民眾也應提高資安意識,謹慎查看帳戶變動並避免輸入個資。只有大家一起通力合作,才能有效降低資安風險,維持金融服務的安全與穩定,金融科技的創新也才能穩定地往前進。
