因應近年的資安威脅情勢,為幫助國內金融業強化資安防護能力,我國金融事務最高主管機關金管會在2020年8月也宣布新的計畫,啟動「金融資安行動方案」,當中聚焦8大重點,帶動產業重視資安組織文化也是目標。圖片來源/金管會

近年來,金融科技、數位金融創新議題不斷,各式日新月異的技術正促使金融服務型態改變,加上金融業原本就是高度利用資訊科技的產業,這也使得現在金融業的資訊安全風險議題,成為2021年的一大焦點。

開放銀行下的資安議題最受注目

隨著國內金融法規的鬆綁,金融數位轉型的驅動,包括開放金融業資料可以存放到雲端服務、核發純網銀執照、開放銀行(Opening Banking),以及擴大行動支付之應用與創新等,帶來新的業務型態,也打破了傳統金融面貌。

相應而來的資安防護挑戰,就成為現下金融業者將面臨的一大挑戰。舉例來說,關於雲端服務面向的安全,過去金融業可能不用關注,但現在,對於雲端的控制措施、風險評估、監控與查核等,也成守備範圍。此外,在開放銀行之下,將讓更多方單位擁有金融資訊,相對而言,駭客也有更多攻擊的途徑。

因此,不論是個資安全與風險、第三方服務提供者(TSP)的相關資安規範要求,資料共享與風險權責畫分,還有大數據的潮流之下,去識別化應用的發展趨勢,甚至AI應用的可信賴準則等,金融科技下的安全思維轉變,都會成為需要關注的議題。

金融業資安現況仍有強化空間

除了新興資安風險議題,當前金融業的資安防護現況,也值得關注。特別的是,我們近期看到有業者公布相關調查報告,打破以往我們對金融業的印象。

在2020年,安侯建業聯合會計師事務所(KPMG)有一項調查,是以外部的網際網路風險來檢視,並篩選50家臺灣各產業企業。調查中指出,雖然金融業在許多防護面向都優於產業平均,包括SSL/TLS強度、漏洞修補管理等,不過KPMG認為,金融業在相關方面能力並未顯著領先,特別是DNS防護與DDoS緩解措施的部分,他們發現部分金融業者還比產業平均值落後。而這樣的調查結果,其實也提醒了國內金融業者,不要以為金融業受高度監管,資安投資通常也比其他產業高,就可以滿足於現況。

強化金融產業資安成國際共同目標

對於如何強化金融業資安,我國金融監管單位與金融業都在關注,也期望向國際經驗借鏡。現今有哪些重點值得關注?例如,美國聯邦金融機構檢查委員會(FFIEC)發展的網路安全評估工具(Cybersecurity Assessment Tool),就是能幫助金融機構精進資安治理,當中包含資安風險與情資的管理,內控與委外關係的管理,以及事件回應等面向。

因此,金管會在2020年提出的金融資安行動方案,就鼓勵金融機構辦理資安治理成熟度評估,他們也正推動十多家金融機構,試行網路安全評估工具。

此外,近年還有歐洲銀行監理總署(EBA)發布的「資通科技及安全風險管理指引」,以及新加坡金融管理局發布的「網路安全公告」,這樣的國際趨勢,都突顯強化金融產業網路安全的必要性,相關強化措施也成我國需要密切關注的趨勢。另外,針對金融界的攻擊手法越來越精密,為讓關鍵金融資產的保全能夠多一道防線,近年美國產業提出的「避風港計畫」,也被視為金融業在資料保護上的新焦點。


熱門新聞

Advertisement