金管會資訊服務處處長蔡福隆強調,建置F-ISAC主要目的在於,提供金融業者資安預警、聯防功能,且此平臺將納入銀行、證券期貨與保險體系,當會員提供資安資訊到此平臺,不會提供給金融檢查機關與政府機關作為金融檢查的依據。

圖片來源: 

iThome

如今全世界各家銀行受駭頻傳,一銀事件更暴露了臺灣各銀行的資安問題,目前政府正加緊規畫建置金融資安中心F-ISAC,行政院資通安全處處長簡宏偉指出,金融資安中心F-ISAC計畫將提供金融業者分享資安資訊的平臺,達成早期預警、持續監控,以從被動防護進展到緊急防禦。

金管會資訊服務處處長蔡福隆指出,F-ISAC由金管會負責規畫,初期建置經費由行政院資安處提撥,達5,000萬元。今年第三、四季為規畫階段,明年第一季委外建置,預計於2017年第二季建置完成。

而F-ISAC由金管會規畫完成之後,預計將移轉至政府財團法人機關經營,蔡福隆說,目前正在考慮交由臺灣金融服務業聯合總會、金融聯合徵信中心或中央存款保險股份有限公司等相關政府財團法人經營。

他強調,建置F-ISAC平臺主要目的在於,提供金融業者資安預警、聯防功能,且此平臺將納入銀行、證券期貨與保險體系,當會員提供資安資訊到此平臺,不會提供給金融檢查機關與政府機關作為金融檢查的依據,而此平臺主要涵蓋九大功能,包括漏洞通報、資安諮詢服務、資安事件通報與分享、提供技術訓練與舉辦國際研討會等。

他解釋,目前國內外在金融領域還存在大量的資安漏洞,但是,如今很多銀行面對資安漏洞時,仍苦無諮詢對象,因此,計畫在F-ISAC中,提供漏洞評估服務。

建立資安漏洞通報平臺,仿效烏雲作法

而在金融資安中心裡面,金管會還計畫建立資安漏洞通報平臺,仿效國內外漏洞通報平臺作法,如中國烏雲(WooYun),除了建立機制供民眾通報資安漏洞之外,還會設立獎勵制度,例如通報金融系統漏洞會給予獎金,來吸引更多外界專家的協助。蔡福隆說,在金融資安中心裡面,「需要引進外界的資源,而非政府自己悶著頭做。」

為了進一步提升金融界的資安技術能量,在金融資安中心,也提供技術訓練、舉辦研討會,並和國際資安人交流等,他說,一旦臺灣資安人能夠充分了解國際資安趨勢,也才能知道國內不足所在。

除了提供漏洞分析與強化資安技術能量之外,在F-ISAC上,也提供資安專題研究分析與協助資安規範評估與建議,以對於近期發生的資安事件有更深一層的了解。

不僅如此,蔡福隆說,金管會還計畫找駭客進行大規模系統測試,由政府主辦,每一年實行一次,來大規模測試臺灣各家銀行的資訊系統,初期以大型銀行為主,之後再擴展到其他中小型銀行。但蔡福隆未透露是否會採如政府內部資安測試一樣,僅公布測試時間而不公布測試對象,來考驗各銀行的緊急應變能力。

而金融資安中心計畫分為4個工作小組,以防護服務組來說,主要提供技術諮詢、漏洞評估、應變協助與數位鑑識,而資訊研析組則負責研判與分析國內外情資、駭客手法分析與大數據分析等。

在技術研發組中,計畫聘雇十多位資安專家,而金融資安中心主要的角色為資源整合單位,如聘請資安顧問,透過顧問來提供資安技術與引進國外技術等。

金融資安中心主要參照多個國家的作法,包含美國、英國、日本等,他解釋,其中美國FS-ISAC主要提供資安演練、會員資安調查、與適法性評估等多項服務,且採用會員制,一般會員涵蓋金融組織、保險公司與證券期貨業者,每年收費850元至49,950元不等。

而英國CiSP提供網路監控報告與網路安全防護改善建議等,會員採免費加入、日本F-ISAC-JPN則提供資安威脅警示、資安議題研究分析與報告等,一般會員為國內金融機構,會員費用每年80萬日圓。

資通安全管理法將於今年底前完成三讀

此外,自行政院資通安全處(簡稱資安處)8月1日上路之後,簡宏偉表示,資通安全管理法將於今年底前完成三讀,除了政府機關安全防護措施外,管制範圍會納入民間企業,初期以國家關鍵基礎設施優先推動,其中一項為高科技園區,而上市櫃公司初期則是以宣導為主。

他說,目前資訊安全管理法系則仍在研議階段,預計今年八月底推出草擬的資安管理法版本,並在和各部會討論之後,預計九月召開座談會,邀集各方人士發表意見,之後推出行政院版並交由立法院進行三讀。


Advertisement

更多 iThome相關內容