金融機構在發展AI、Blockchain、Cloud、Big Data等新興科技時,在資訊安全上也會帶來更大的挑戰。
「金融創新下,需要資安韌性來撥雲見月。」勤業眾信聯合會計師事務所董事萬幼筠,在2019臺灣資安大會的金融安全論壇分享,金融機構在創新的同時,面對難以預測的資安威脅,該如何強化資安韌性(Cyber Resilience),將成為企業發展的重要關鍵。
根據國際清算銀行(Bank of International Settlements,BIS)旗下的巴塞爾銀行監管委員會,委託美國哥倫比亞大學學者研究數位新創下金融監理(Regtech)的技術變異趨勢中指出,歸納出7項新興技術主流,包括了人工智慧、API(Application Programming Interface)、大數據分析、生物辨識、雲端運算、分散式帳本技術與語意技術。
金融創新帶來的資訊安全完美風暴
但,萬幼筠提到,這些應用在金融創新的新興技術,過去鮮少討論其安全性,他舉例,如何檢驗演算法的安全?本身具備安全性的區塊鏈技術,應用在交易上又該如何確保安全性?萬幼筠形容,「數位創新帶來了一場資訊安全的完美風暴。」
他進一步解釋,所謂的資訊安全完美風暴,是指技術變異到我們的生活工作中,使得資安風險與事件,呈現指數型成長。但是,我們團隊的資安專家不夠多,在人才耦合上形成人才缺乏。然而,萬幼筠提到,金融業務創新上的進展,比風險因應的方式還快,解決方案還未提出,風險已先被發現,讓資安事件與違規行為的影響越來越大。
加上金融業為了商業競爭,又會快速部建新興科技應用。接著,隨著新興法規的出現,企業又缺乏足夠的安全技能與合規決策。環環相扣下,未來將使得資訊安全成為銀行的主要業務之一,他強調。
萬幼筠也指出,組織的資安能力,在新興技術帶來的破壞式創新,改變了新的資安應變能力差距(Gap),而這差距是大到無法預估。面對應用新興技術帶來的安全問題,企業更要做足準備應變。他提到,企業應具備增強式資訊安全思維(Augmented Cybersecurity),就是導入這些新興科技,放到企業複雜的環境裡,例如用AI做資安。
不只企業要這樣做,萬幼筠認為,監理機關未來也會用這些新技術,來偵測金融機構採用新技術帶來的新興風險。
數位創新下5大資安挑戰
Deloitte認為,在數位創新風潮下,有5大資安挑戰。第一是威脅情勢的演變,新的威脅情勢,使得網路威脅的頻率與複雜度增加。第二是商業環境與技術的交融不一樣,使得安全與隱私監管增加。
第三是有許多合規議題很難解決,金融機構只要在歐洲設有分行,還是會遇到GDPR,萬幼筠強調,金融機構在合規上得做到一步到位,如在隱私權上,有去勢別化議題、資料如何儲存等,在做同一規範上,得滿足所有新科技因素。第四是資安人才短缺。第五是得管理不同的安全工具。而這5大資安挑戰,也反映了技術變革和網路風險的重要性。
AI帶來的安全風險,應遵循5項原則避免風險產生
針對金融科技帶來的安全風險,萬幼筠以AI為例,他指出,AI風險背後,來自不夠穩健的演算法。他強調,演算法是AI技術的核心,如果缺乏適當的演算法風險意識與開發指引,將可能帶有偏見的決策,使民眾無法信任AI技術帶來的服務。
所有AI都是數據與資料的推演,萬幼筠指出一一指出演算法的風險。如果資料來源本身有差異,造成推演規則邏輯有錯時,就會產生偏誤(bias),導致AI模型產生無效或是不公平的結果,而缺乏有關演算法風險的意識,會使得開發者無法在一開始就發現偏誤。然而,使用不正確的演算法、資料品質不佳,或是參數選擇不適當,都會導致AI模型不準確(inaccuracy)。再來,若缺乏對AI訓練的回饋監控,就會使其容易成為演算法攻擊的對象。萬幼筠也提醒,使用者若對AI模型的限制了解不夠深入,容易錯誤詮釋AI產出的結果,造成不適當的決策。
萬幼筠指出,AI研發與應用的過程中,應遵循5項原則,避免應用上違背倫理標準或本身模型不夠穩健,而產生風險。一是需促進公共利益與福祉,二是在應用大量數據訓練AI模型時,在個人資料處理與應用上,應該要遵循一定標準,以避免侵害個人隱私。三則是遵守公平原則,從蒐集訓練數據、建模、測試到部屬,AI的研發與應用不應受到人為操弄或外部攻擊,導致決策結果出現偏差,進而造成圖利特定族群的不公平結果。
四是在導入AI系統的同時,應建立AI安全評估機制,監控AI是否正常運作。同時,也要設立緊急停止機制,確保當AI出現非預期的後果時,能及時停止並採取因應措施。萬幼筠強調,透過這安全評估機制,交易雙方就得需符合當初所設定的安全與風險規範。最後一項原則,則是讓AI的技術邏輯與商業模式,能夠被外界或獨立第三方機構進行檢視,以確保AI的應用符合法規或技術規範,並在人為可控制的情境下運作。
使用資料必須執行的數據治理5大階段
萬幼筠提到,金融科技的另一大安全風險,就是大量使用各類數據的隱私保護執行,然而,要運用資料,得先去識別化,讓個資不再具有直接或間接識別性。萬幼筠指出,GDPR出現後,去識別化時最常見的兩種的隱私工程技術,就是假名化(Pseudonymization)與匿名化(Anonymization)。他也提到,資料保護形式能做到一定程度的話,資料共享與共用就會進到安全性模式。
企業決定進行資料去識別化之前,得先盤點資料欄位及內容,確認哪些欄位內容包含機敏資料,需要進行去識別化。盤點過後,針對不同特定領域的資料,除了一般性資料分類,也應該依據機敏程度與風險水準,進行資料分級。接著,得依據資料等級,選用不同安全性的去識別化技術和演算法,確保資料不會透過拼湊、反解密等方式被輕易重新識別。最後是,去識別化後的資料得進行管理,把具各種不同特定目的、授權、申請核准等方式釋出分享。
他也認為,數據治理未來一定會投射到企業董事會定期需研究的部分,並一層一層逐次往企業各階層進行安全控制規範。
最後,萬幼筠提到,技術帶來新的差距,是資安產業很好的機會。未來,對於資安人員的技術分工,也會越來越明顯。而資料科技,也會大量改變技術安全型態的風貌。文⊙李靜宜
熱門新聞
2024-12-03
2024-11-20
2024-11-15
2024-11-15