永豐金控數位科技長萬幼筠表示,發展數位金融的議題,是目前金融資安治理、數位治理的最大挑戰。

「資安趨勢的面貌,已經跳脫了傳統資安的貓抓老鼠形式。」永豐金控數位科技長萬幼筠在臺灣資安大會的金融安全論壇專場,分享過去5年來,他所觀察到金融資安變革,「有6大典範開始轉移了。」

他首先點出的第一項變革是,在資料集與分析應用上,從集中式典範,轉移為聯邦式的典範。萬幼筠解釋,現今的金融機構熱門的生態圈、API開放金融、區塊鏈等,都會讓金融業者開始將自己資料,分享到與合作廠商的共享環境,或是為了跟外部夥伴交流,得將資料改儲存到周邊系統內等,因此,原本集中式儲存資料的資料中心,也得轉變為聯邦式資料中心。

不只如此,萬幼筠坦言,金融業現在仍不敢將資料提供給第三方,所以,會限制第三方的使用,所提供的資料精細度也不夠高,如此一來,就得準備好幾套經過去識別化的資料集,放置在不同的地方。

但,這種資料集分散的作法,反而帶來一個好處,正因金融機構與非自家集團的第三方夥伴合作時,會仔細評估對方機制的安全性,確保安全後才能交換資料。在這前提之下,金融機構反而能透過API,來發展開放銀行,打造生態系,進一步實現360度客戶視圖分析,投放最適合的金融產品給顧客。

資料集和分析應用轉為聯邦式典範後,也會出現更多金融創新的機會。萬幼筠以Home Banking為例,假設有一名學生想要申辦車貸,銀行如果要執行360度的客戶分析,不能只分析該名學生,更要連帶研究他家人的需求,比如,家庭成員中的爸爸可能想換房,妹妹想出國玩,這個家庭所有成員的整體資金流動,可能牽涉到某一家金融機構的消金、企金,再加上另一家金融機構的理財業務,這些相關的銀行可以思考,透過開放銀行的作法,用家庭金融的角度來分散、設計各自銀行的金融商品服務,但是直接給這個家庭一個總體資金額度。

當然,他進一步表示,銀行對整體放款核貸與曝險,更可能因為事前AI的精準分析,用最快的速度來提供。同時,如果健全的監理科技技術佈建完成,資金動用的狀況更會被準確的追蹤,以達成最佳的信用風險管理 。

透過開放架構,生態圈發展所帶來的金融創新,是臺灣正在發生的進行式。萬幼筠指出,現在的交易可以跨越不同金融機構,來形成一個服務,金融機構都想獲客,提供更為整體性的服務,所以,逐漸出現了很多跨部門、跨機構形式的理財分析內容,「這樣的躍進,駭客往往會選擇攻擊幾家企業共同串接的金融服務。攻擊型態改變了,過往以系統為基礎的安全事件,也轉為以企業實體為基礎的攻擊活動。」這就是第2項典範轉移。

攻擊典範改變,也連帶影響了防禦面的典範。他表示,過去鎖定入侵指標(Indicators of Compromise)的威脅情資(Threat Intelligence)防護對策,到現在仍是主流。但是更進一步,金融機構開始針對攻擊行為(Indicators of Attack)來分析行為與脈絡(Behaviors and Context)的對策,「數據的分析變成資安防護的重點,要透過分析來找出異常行為。」而這個防護典範的轉變,進一步讓金融機構從固定規則的資安策略思維,得轉變成以「風險變異」為考量的資安策略思維,這是萬幼筠觀察到的第4個典範改變。企業得思考,不同的規則形式,得依它的風險形式,而有不同的安全取向。

第5項典範轉移,萬幼筠提到,以前金融機構很清楚自己要面對外部攻擊者,現在,連外部攻擊者是誰都不清楚,因為這些攻擊,大多是透過釣魚郵件、APT攻擊,來滲透企業內部的帳號或設備。攻擊來源從有明確標的,現在轉而變成了不確定來源的典範。

最後一項典範轉移是基礎架構安全的變革,他進一步提到,以往系統、網路、框架、DNZ等都是基礎架構的安全議題。可是,新型態資安的焦點是使用者與資料安全,這類安全議題轉而都連結到消費者所用的設備,「這是一種顛覆」。甚至,還會影響到顧客所使用的應用程式,這又將安全議題延伸到業務層次。

萬幼筠強調:「資安治理變成了業務議題,不再只是技術議題,技術人都有機會步入資本家的天堂,到董事會裡談資安議題以及相關前景。因為,未來企業都是數位化。」

數位金融發展帶來新型態資安風險,成金融資安治理最大挑戰

不只資安典範轉移,萬幼筠更分享他所觀察到的金融資安治理趨勢。在FinTech的浪潮下,包括AI、區塊鏈、雲端、大數據,以及身分識別等新興技術,為金融機構帶來數位變革,並呈現在銀行許多業務面的服務,比如支付、房貸、車貸、清算、市場金融投資、衍生性金融商品操作等應用。然而,這些數位金融發展,同時也帶來新型態資安風險,而資安的挑戰更是來自全球。

他舉例,金融機構如果用Python撰寫AI程式,再用開源機器學習框架TensorFlow來開發和部署,開發過程若欠缺了系統生命周期的概念,將訓練好的AI模型,直接上線放到容器化應用中執行。企業若為了效率,直接放行這樣的作法,安全上要如何進行?萬幼筠點出這個擔憂。他強調:「數位金融,是目前金融資安治理、數位治理的最大挑戰。」

因此,萬幼筠進一步提到,在金融資安治理,不只資訊安全、法遵、風控部門,現在還要再加上數位科技部門,來去解決新型態資安風險的議題。他坦言,企業的資訊安全若還停留在傳統的WAF、防火牆層面來解決問題,只是一種工程改造(Engineering Relevel),但若考慮到企業內部更上層的影響,很多資安作為涉及了政策部署(Policy Deployment),討論議題是企業該用何種防禦解決資安問題,政策上又採取何種模式。

不過,他也提醒,資安治理必須將權責和義務切分清楚,更要在企業內部對這樣的區分有共識。比如,他觀察到,一些國內金控設立資安長的同時,也成立了資訊安全管理委員會,透過資訊安全管理委員會來整合所有相關資安議題。因為,「資安議題已經凌駕傳統的技術議題。」萬幼筠指出。

企業在資安治理上,也要考量自身能力與能量。他也觀察到,目前大多數企業採取資安委外,因為自己做不來,或者是沒能力做。這時,挑選廠商時,就要思考要以何種形式來形塑資安。

金融資安合規挑戰

在資訊治理上,他觀察,因為資訊安全供應鏈的影響,資安韌性(Cyber Resilience)已經走到資安(Cybersecurity)的舞臺中央。「資安韌性談的是,怎麼打都不會死」,他舉例,像可以透過國際合作,一旦遭遇駭客攻擊時,讓大多數企業可以存活,這就是設立資安資訊分享與分析中心(ISAC)的原因,透過集體的力量發揮資安聯防。

同時,企業緊急應變的能力也很重要,才能在出事時盡快找出漏洞且及時修復,萬幼筠提到,這是企業建立資安韌性的第一步。其次,相關遭駭情況調查過程和結果,必須通知經營單位;第三步是,企業得思考,如何快速將欠缺的資安服務,變成基礎服務內涵。

不過,他表示,建立資安韌性,有時,企業得重新定義自家資安的架構,得思考整體框架的設計。但,不少企業的系統,多年來採取疊床架屋的架構,真的能防禦安全?萬幼筠坦言,其實,企業內部都知道一些自家的漏洞,但可能一直沒時間改。他表示,特別是金融業資安從業人員,推動資安時,牽涉到預算、人力、配合的廠商,還有業務急迫性,這種種事情的交錯,「資安永遠是個治理問題,必須要攤在檯面上來討論,所以,企業得形成一個資安策略藍圖。」他提醒。

不少國家透過法規力量,要來強化企業的資安水準,不只臺灣,如歐洲、美國、新加坡、韓國、澳洲等國家,都通過了資訊安全系列法案,都以關鍵基礎建設為主。法規也尤其注重資訊安全供應鏈的規範,涉及管理、供應、諮詢、開發、測試、驗證、金流、資訊流、商流,甚至是供應商提供的服務內容,都會影響到企業整體安全。這正是金融資安目前的合規挑戰。

對於關鍵基礎建設安全,他建議,金融業要思考2大概念,「相互依存」(Inter-dependency)和「資安韌性」(Resilience)。比如臺灣保險業與保發中心串接,銀行與財金公司、聯徵中心、票交所串接,許多服務不只單靠金融機構本身,介接之後,機構間的安全都會影響到彼此。所以,「介接後的資安強度,才是整體服務的資安強度」。尤其,萬幼筠坦言,這些機構採用的設備都高度相似。所以,資安資訊分享與分析中心及資安事件監控中心(SOC)的重要性在於,可以即時掌握不同資安事件的資訊源。

另外一個要重視的概念是資料保護,如何用隱私工程,比如差分隱私、被遺忘權、Privacy by design and default、去識別化等,企業會需要符合歐盟一般資料保護規則(GDPR)要求的隱私工程框架。萬幼筠提到,企業需要大量資訊工程人員、數位科技應用人員,以及資安人員一起共同合作。

「在資料保護上,沒有數據資料,就沒有數位金融。」他認為,治理本身是資料整合的問題,像是雲端跨境,就涉及美國的雲端法案,以及蒐證等問題,企業在雲端這條路選擇如何前進,這些都得考慮進去。

而新科技如AI可以成為資安的助力,他認為,金融資安的複雜程度需要透過AI來緩解。不過,AI應用與演算法安全,也需要治理,包括事前與事後的檢閱結果的驗證,以及持續的稽核還有監控。文⊙李靜宜


Advertisement

更多 iThome相關內容