金融監督管理委員會主任委員黃天牧。

「金融機構對資安一定要有整體思維,而且必須超前部署。」金融監督管理委員會主任委員黃天牧點出新金融資安政策背後的核心精神。

早在一年多前,時任金管會副主委暨資安長的黃天牧發覺,不能每次都等到資安事件發生後,才來修補資安規範,便交由金管會資訊處規畫一套金融資安整體方案,參考了國際金融資安情勢與資安監理趨勢,從策略管理面、制度面、技術面,全盤重新檢視臺灣金融業整體資安需強化的地方。今年8月初,這套金融資安行動方案正式出爐。

黃天牧表示,金融資安行動方案從強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能等4大面向切入,目標是達到安全、便利、不中斷,以及消費者個資保護。

要實現金融資安聯防,金管會必須與F-ISAC刻意保持距離

黃天牧指出,傳統銀行業以往的業務相對單純,多採用封閉體系,除了跨行匯款體系之外,大部分是各自支撐的體系。但,隨著近年業務擴大、資訊發展快速,以及跨域整合,金融機構跟外部的連結越來越多,暴露的風險就越大。

「資安不是各別金融機構的問題。」所以,金管會在2017年推動建置F-ISAC(金融資安資訊分享與分析中心),由財金公司負責維運,目的就是要把每一家金融機構在資安受影響的資訊集中,進行整體分析,再提供給其他會員機構參考。

他更以社會學的「集體韌性」(Collective Resilience)概念,來形容金融資安聯防。當整個社區受到災變或是大衝擊,造成親人死亡、財產損失,社區如何走出創傷重建家園,可以靠集體恢復的能力,這就是集體的韌性。黃天牧強調:「從金融體系來說,金融資安聯防就是一種集體韌性的展現。」

儘管F-ISAC推動3年來,參與會員數已有374家,包含銀行、保險公司、證券、期貨、投信投顧等業者。然而,黃天牧個人認為,F-ISAC能否順利運作的關鍵點是信賴。金融機構會擔心自家所有資安事件通報給F-ISAC後,會不會讓金管會對金融機構有所處理。

為了突破業者的這道心防,黃天牧強調:「金管會必須與F-ISAC刻意保持距離,絕不會取得會員機構分享給F-ISAC的情資,這也是F-ISAC成立至今的首要原則。」

而F-ISAC為了確保情資共享的保密原則,更採取了一套資安情資識別的TLP交通燈號協定,將資料按機密程度分級以利存取控管。依據情資類型、提供者的要求(如可分享對象),將情資分享分為4個層次,並以紅燈、橘燈、綠燈、白燈來控管,絕不會與超過授權範圍的人透露情資。

信任需要累積,所以,黃天牧提到,一開始F-ISAC先向國外購買情資,再分享給會員機構,比如F-ISAC會分析美國、歐洲、亞洲的重要資安趨勢,提醒會員機構所需注意的地方。

兩年來,會員機構與F-ISAC彼此的信任與互動開始建立了,會員機構願意揭露自家營運的資安問題。雖然,成立之初,分享的情資不到一百則,但到了今年,光是上半年,金融機構會員分享給F-ISAC的情資就有218則,顯見F-ISAC漸漸受到金融機構的信賴。黃天牧表示,這正是金管會的目的,讓F-ISAC能根據這些資訊,分析臺灣地區金融機構,現階段可能會遇到的資安問題。

甚至,當金融機構遇上資安事件時,黃天牧提到,更能凝聚會員機構與F-ISAC之間的信賴與團隊精神,體認到彼此為生命共同體,得共同合作才行。好比去年11月,國外駭客對國內證券與銀行寄出勒索信件,發動DDoS攻擊,F-ISAC與會員機構就發揮了合作精神,共同抵抗這波攻擊。

同時,F-ISAC在國際交流也多所著墨,不僅參與美國FS-ISAC成為其會員,也與日本F-ISAC簽訂MOU,去年還參加了歐盟FI-ISAC舉辦的年會,跟國際交流非常密切。黃天牧表示:「資安沒有國界,不只是臺灣各金融機構要連結,也要與其他國家聯繫。」

不只情資共享,未來連資安應變機制也要資源共享

為了讓資安聯防發揮得更徹底,金管會也祭出了新政策,包括鼓勵金控建立電腦資安事件應變小組(CSIRT),推動公會與周邊單位建立資安應變支援小組,以及整合F-ISAC聯防。黃天牧透露,這將是金融資安行動方案第3年的規畫,要讓資安應變機制也能資源共享。

金管會的計畫是,將整體資安聯防分為4個層次,金融機構自己建置CSIRT,金控建立CSIRT,公會建立資安應變支援小組,最後一層是F-ISAC,最終形成一套完整的資安聯防體系,透過體系中成員的共享,來得到整個緊急應變的資源。「每件資安事件大小不同,若遇到更大規模的資安事件,得有更大的力量來支援資安應變。」

此外,金管會還計畫督導F-ISAC建置二線SOC(資安事件監控中心)及訂定資安監控作業標準,推動金融機構SOC與二線SOC協同運作,甚至導入AI分析機制等。二線SOC要從監控標準作業基準開始做起,得先建立一套金融機構與F-ISAC的監控標準作業程序與內容,才能開始進行資料交換的監控。然而,這部分或許需要更長時間推動,因為,金管會考量,只有打穩基礎後,成效才會更好。

形塑金融機構高層重視資安的組織文化

「資安永遠沒有完美,它有其成本與代價。」黃天牧很清楚,金融機構得在資安與金融創新之間找到好的平衡,重視安全的同時,又能不影響效率。所以,「金管會要求金融機構合規,在考量任何要求時,對成本與效益也要有所平衡,若過度要求資安,其實會影響到金融機構創新與商品提供。」他強調。

但有一件事,黃天牧相當堅持,他指出,金融機構董事會對資安的重視與資源配置,相當重要。因此,在新的金融資安行動方案中,不僅要求資產達一兆元以上的金融機構,以及24小時營運的純網銀,必須設立副總層級的資安長。更鼓勵金融機構遴選聘用具備資安背景的董事、顧問或設置資安諮詢小組,甚至要開辦董監事資安教育訓練專設課程。

黃天牧強調:「金融機構的決策者,若沒有資安的觀念,一切都是枉然。」金管會更鼓勵,董事會可以有更多具備資安知識的成員,透過多元化成員組成,讓金融機構的決策能更周延。

金管會對資安能力的強化也不只針對董事會,也計畫協調周邊單位如金融研訓院等訓練機構,多開設資安人才養成專班,鼓勵金融資安人員取得國際資安證照等,來強化專業人才的能力建構。甚至,金管會也希望,金融機構要讓其他職務的員工,乃至於消費者能具備資安意識。

金管會擬推動避風港計畫,讓關鍵金融資產資訊得以保全

金融資安行動方案的第4年計畫,還有一項特別的新目標,要建立臺灣金融機構的資料保全機制。金管會參考了美國推動的「避風港計畫」概念,來研議資料保全的運作機制,包括資料保護、資料可移性、資料復原性及關鍵服務持續性等項目,將視研議結果評估推動方式。

黃天牧表示,挪威有一座種子庫,搜集了數以萬計的種子,被視為全球農業的諾亞方舟,萬一發生世界末日,能成為將來世界重新開始的契機,這就是金管會想推動的資料保全概念。

雖然金融機構有備份與備援機制,但是,不能確保百分之兩百的安全,所以,金管會希望能透過第三方來保存關鍵的金融資產資訊,比如顧客在銀行的最終存款餘額等。

初期,金管會將先研議資料保全機制的可行方案,建立一套作業程序、標準、資料格式規範等,更重要是與金融機構形成推動的共識,找出一個安全及經濟有效的模式。

之所以列入第4年的長期目標,黃天牧提到,各家金融機構對資安的認知與願意投入的資源不一樣,需要更長時間推動,金管會將先研究其他國家的作法,比如,美國的避風港計畫,主管機關是扮演制訂規範與稽核的角色,並由金融機構自行選擇安全儲存資料的地方。

黃天牧認為,資安要以最壞情境來思考,臺灣常遭受資安攻擊,比別人更有經驗,凡事要想得更長遠。所以,不能只是金融機構各自有備援機制就夠,恐怕還需要第三方儲存機制,這樣會更安心。

要讓金融產業建立更健康的資安文化

資安是企業經營一定要面對的問題,黃天牧更認為,金融機構即便發生了資安事件,也需要能用更健康的態度面對資安威脅,透過集體努力來建構資安的安全網。

而他也期許自己,主管機關得用更積極的態度,鼓勵金融機構將資安問題拿出來討論,如此一來,就能建立更健康透明的資安文化,讓金融機構願意投入資源建構一套好的資安體系,可以成為整體金融穩定發展的基礎。

未來2、3年,黃天牧認為,會看到更多金融機構將資安視為營運重要策略,來形塑組織文化。而主管機關的推動與確立方向,將更顯得重要,如果金管會不推,金融機構可能會各自發展;可是,只要主管機關稍微對金融機構提出合理的要求與標準,讓大家共同努力,就能提升臺灣金融業的韌性,不只是清償能力,包括整體資安韌性,達成營運上安全、便利、不中斷的3大目標。

「資安就像推動公司治理一樣,做與不做真的有差。」他這樣相信:「只要文化對了,企業有好的領導者,很多事情就會水到渠成。」文⊙李靜宜

相關報導請見:臺灣資安大會直擊(上)資安將是臺灣新戰略產業


Advertisement

更多 iThome相關內容