隨著金融科技蓬勃發展,各金融機構積極邁向數位轉型、推動多元創新服務,不僅重視客戶體驗,更致力於數位金融服務的優化,以掌握商機維持競爭力。近年來因應疫情影響,非實體接觸金融服務成新常態,使得數位轉型的進程更加快速,然而伴隨而來的資通安全問題卻是日益嚴峻,不容忽視。證基會爰規劃辦理本場次研討會,安排主管機關、實務專家和與會者分享與交流。
主辦單位首長致詞
證基會 林丙輝 董事長
林董事長致歡迎詞表示,在數位轉型的趨勢之下,雲端共享、行動支付、網路銀行及理財應用程式等金融服務的使用普及化,大量個資與交易資訊暴露於不同存取管道,導致金融機構成為犯罪組織覬覦的主要目標,在人員資安意識不足,以及金融機構愈趨倚賴委外廠商及供應商的情況下,業務機密資料外洩的風險大幅增加,金融體系系統更易遭受攻擊。
駭客、社交工程與勒索軟體等網路攻擊遍及國內外,受害者不乏國際知名大型機構,造成可觀的金錢損失,更對企業、社會帶來極大的衝擊,因此在威脅持續到來之際,更應落實資安檢查與演練,強化管理以預防資安事件的發生。今日的研討會安排「金融資安監管政策及趨勢」及「金融業資安威脅與防禦」兩主題,並特別邀請主管機關金管會林裕泰處長及實務專家永豐金控李相臣資深副總經理擔任主講,與各位分享經驗與交流,以協助業者瞭解重要規範。
專題演講1:
金融資安監管政策及趨勢
金管會資訊服務處 林裕泰 處長
林處長首先回顧金管會於2020年發布之「金融資安行動方案」,金融業營運模式數位化為客戶帶來便利服務,卻也同時帶來風險,由於金融業為犯罪集團首要覬覦目標,面對勒索病毒與駭客攻擊層出不窮,金融資安議題備受外界關注,資安事件的發生更破壞民眾對於金融服務的信任。金管會推動「強化資安監理」、「深化資安治理」、「精實金融韌性」、「發揮資安聯防」四大策略,希冀業者能夠重視資安、提升治理能力與水準,並確保系統營運穩定,以追求安全不中斷的金融服務,保護金融消費者的財產與隱私。
近年來因新冠疫情的蔓延,造成人員移動的限制與居家辦公模式普及,資安疆界產生很大的改變,加速了數位轉型,此外,俄烏戰爭帶來的網路攻擊,更考驗了數位韌性。透過2022 iThome CIO年度目標大調查,可觀察到「強化資安」與「確保IT穩定與一致」排行首二項目,面對後疫情時代,遠端工作能力和業務流程數位化已為企業數位韌性的基本能力,數位轉型與強化資安可謂相輔相成。
林處長表示,前述行動方案已實施逾兩年,金管會近期將再發布下一階段的精進方案,將既有之規範擴大適用、加強執行,並因應數位轉型新趨勢,推動精進措施以強化資安防護,預計推行重點包含:
一、強化資安監理
1.擴大資安長設置、落實資安長職責:金管會於110年底發布上市櫃公司須設置資安長、資安專責單位及資安人員,未來可能將公司電子交易比例也納入規範考量,持續擴大設置。金管會也將定期召開資安長聯繫會議,並透過重大資安事件情境演練來檢視及優化其制度。
2.增修訂資安自律規範:因應金融機構之委外及跨業合作,須強化金融供應鏈體系或第三方服務供應商之資通安全,並思考如何有效因應新興攻擊樣態與事件。
3.建立網路身分認證與業務風險對照:瞭解客戶所使用之數位身分驗證機制,並透過驗證強度來對照其業務風險。
二、深化資安治理
1.加強管理:
(1)鼓勵金融機構導入國際資安管理標準及取得驗證,如:國際資安管理標準(ISO27001)、國際持續營運管理標準(ISO22301),透過第三方獨立機構檢視管理制度及持續營運之有效性。
(2)推動金融資安治理成熟度,鼓勵金融機構自評與訂定成熟度目標。
2.強化監控:
(1)鼓勵金融機構建置資安監控機制(SOC),及早發現網路異常行為,以扮演資安防護「防微杜漸」的關鍵角色。
(2)鼓勵零信任網路部署:意旨針對原信任對象導入偵測機制,我國目前推動的零信任網路採存取門戶部署方式,具備身分鑑別、設備鑑別及信任推斷3大核心機制,未來希望持續推廣,以完善資安防禦的深廣度。
3.加強人才培育:
(1)金管會訂定金融資安人才職能地圖,開設相關課程專班,並鼓勵資安人員取得國際資安證照,以提升專業能力。
(2)擴大及深化網路攻防演訓,以戰代訓。
三、精實金融韌性
1.增進營運持續管理量能:訂定強化作業韌性參考規範,包括核心業務識別、最大可容忍中斷時間與災害應變運作、壓力測試、復原能力之實證等,鼓勵備援環境實際業務運作驗證。
2.加強資安實兵攻防,如:阻斷式服務攻擊(DDoS)及重大事件情境演練等。
3.強化金融核心資料保全:研議資料保全運作機制,包括資料保護、資料可移性、資料復原性及關鍵服務持續性等項目。
四、發揮資安聯防
1.強化情資關聯分析及情資分享動能
2.規劃重大資安事件演訓,建立虛擬指揮應變體系
3.提升聯防SOC運作效能
專題演講2:
金融業資安威脅與防禦
永豐金控 李相臣 資深副總經理
金融犯罪泛指任何導致金融損失的非暴力及不法行為,包括金融舞弊、洗錢、逃漏稅等,甚至擴大至內線交易、賄賂、網路犯罪、資恐及人口販運,而金融監理的主要目的之一就是預防犯罪,包含內部舞弊與外部侵害(對象包含金融機構與客戶第三方)。前述犯罪手法主要可分為兩類型:一種是以金融機構或客戶為目標,例如:DDoS或勒索軟體阻斷金融服務、駭入網站竊取資料、網路盜轉帳或盜領ATM;另一種則是利用金融服務作為犯罪工具,例如:利用OBU帳戶洗錢、以金融支付或人頭戶詐騙等。
李資深副總將資安工作簡單分為「防範」、「察覺」、「鑑識」與「管理」,大家須隨時保有警覺,留意使用安全、設備安全以及資料(個資)的安全,不論是APP的下載、系統及軟硬體設備的更新,皆須注意是否存有漏洞,我們能夠透過異常時間、流量或對象做判斷及分析,更重要的是「特權帳號」的謹慎管理,最後是零信任、韌性與快速復原。
由於科技是以「功能」導向開發運用,而非「安全」導向,使用者的疏忽或不當使用可能驅動駭客入侵,而APP缺陷、網站弱點、連線攔截、韌體錯誤、合法程式竊密或是偵測不出的惡意程式等危機在生活中更是經常上演,尤以「零時差漏洞」最難以克服。科技更迭快速,數位金融犯罪順勢攀升,手法層出不窮,李資深副總分享許多金融犯罪案例,包含:我國電信詐騙一周財損8.4億、駭客攻擊自駕車資安事件成指數型成長、新惡意程式盜走北美銀行數百萬美元、駭客透過傳送惡意JPEG圖片入侵被害者instagram帳號、Android木馬Teabot假冒廣告封鎖程式感染並竊取銀行資訊、虛擬貨幣投資詐騙、駭客溜進Microsoft Teams會議大量散布木馬程式、撞庫攻擊等,無數慘痛案例都告誡著須杜微慎防面對。
員工資安意識不足及缺乏熟練人員為多數企業認為資安威脅難抵禦的主因,面對勒索軟體、社交工程、釣魚網站與商業郵件詐騙等威脅持續到來,企業除著重網路安全與IT基礎架構防護外,郵件安全、端點安全、資安意識與滲透測試等備受重視,企業意識到網羅人才的必要性,資安人才需求激增。
李資深副總呼籲除了國家網路安全與企業資安,個人與家庭也須懂得自保,建議各位在網路服務帳戶上啟用多因素身分認證、開啟軟體自動更新的功能、點擊前請深思、使用高強度密碼;另針對勒索軟體的應變提供7步驟:
1.確定受影響的系統,立即隔離
2.僅於無法斷開設備與網路連接時進行關閉避免勒索軟體傳播
3.對受影響的系統進行分類並復原
4.諮詢事件應變團隊,在初步分析的基礎上,從事件發生的發展與記錄文件來獲得初步理解
5.讓企業內外部團隊及利益相關者共同參與,並從事件減緩、回應與復原方面,了解各自可提供的支援
6.針對受影響的設備(例如工作站與伺服器)擷取系統、記憶體映像檔
7.向執法單位諮詢可能的解密工具
最後,李資深副總建議企業落實以下措施,加強資安管控:
1.落實資安「基礎」工作(驗證標準與防毒防駭等)
2.注意相關漏洞發布與因應作為
3.重視資安相關紀錄分析,及早察覺異常與非法存取
4.汲取資安案例經驗,檢視、補強、監控相關系統流程與功能
5.慎選善用資安軟硬體設備與合作廠商
6.參加研討會,蒐集威脅情資與攻擊方法及工具
7.持續的宣導與教育訓練