【臺灣資安大會直擊】金融資安行動方案發布9個月，金管會一次揭露最新執行成果與更多規畫細節

「金融機構未來的發展，得靠金融科技這個武器才能取得競爭上的利基，金融機構在策略的設定，或是對顧客的分析、辨識顧客的身分，甚至，在中臺與後臺的風險控管，其實都有賴科技、技術與資訊。不過，要讓整體發揮效用，最重要的是得靠資訊安全作為支撐。」金管會副主委邱淑貞5月6日在臺灣資安大會金融安全論壇致詞時表示。

去年8月初，金管會推出金融資安行動方案，以4大面向切入，包括強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能，並聚焦8大亮點，要用4年時間來分階段推動，強化金融業資安防護能力。

同月底，金管會更發布了金融科技發展路徑圖，以3年為期推動，並從8大面向推動，要藉由這套金融科技發展路徑圖，形塑友善的金融科技發展生態系，促進相關服務或商業模式的推出，提升金融服務的效率、可及性、使用性及品質。

邱淑貞提到，這兩個方案是配套的，其中，金融資安行動方案的目的是達到安全便利不中斷的金融服務。當金融業有了資安這個重要基礎，才能在金融科技上有更好的發展，而金融科技發展路徑圖，就是臺灣推動金融科技的重要依據。

金管會資訊服務處處長蔡福隆也出席論壇，進一步揭露金融資安行動方案從去年推出至今，這9個月以來的執行成效，以及金管會接下來的重點規畫細節。

金管會資訊服務處處長蔡福隆在臺灣資安大會金融安全論壇揭露金融資安行動方案最新進程。

金融機構是否落實資安管理，成為金管會業務准駁考量之一

金融資安行動方案其中一項重點，是結合監理工具提供激勵誘因，蔡福隆表示，監管機關能做的就是政策上面的應用。所以，金融機構向金管會申請開辦業務的案件時，是否落實資訊安全管理，會作為金管會業務准駁的考量因素之一。「如此一來，金融機構就會更為重視資安。」他說。

此外，金管會也同時給出一根蘿蔔及一根棒子。蔡福隆提到，針對資訊安全執行較好的金融機構，可酌減包括中央存款保險和保險安定基金的費率，這是金管會釋出的激勵誘因。但，做不好的金融機構，金管會則會提高該金融機構的作業風險法定資本之計提。他表示，金管會每年會檢視一次相關政策，要讓金融機構有感。

形塑金融機構重視資安的組織文化，已有12家金融機構由副總層級兼任資安長

在型塑金融機構重視資安的組織文化的執行成效上，蔡福隆說明，截至今年Q1，已有12家金融機構由副總經理兼任資安長，另有34家金融機構遴聘資安背景的董事、顧問或設置資安諮詢小組。邱淑貞則表示：「之所以要讓金控有一位副總層級的資安長，目的就是讓資安長能夠由上而下調動各種資源，來支持組織資安的發展。」

目前，金管會也正在研議修法，未來，希望所有本國銀行與一定規模以上的保險公司，需由副總層級兼任資安長，證券業者也要設置資安長。蔡福隆表示，金管會將先從鼓勵方式，慢慢變成一套相關規範。

強化金融供應鏈體系風險評估與管理，擬成立委外廠商聯盟並訂定資安規範

強化新興科技的資安防護，也是金融資安行動方案力推重點之一。隨著金融機構導入多項新興科技，也伴隨諸多資安風險，金管會建議公會增修訂新興金融科技資安自律規範，納入行動App、雲端服務、開放銀行、網路身分驗證（eKYC）及資訊服務供應鏈的風險評估等。

同時，金管會要求，金融機構運用新興科技發展創新業務的同時，必須考量相關資安風險，要兼顧服務創新與安全。此外，在因應委外與跨業合作，也要強化金融供應鏈體系風險評估與管理，降低體系風險。

近期，發生不少駭客透過委外廠商的VPN，入侵某些機關資訊系統的資安事件。蔡福隆表示，這情況顯露出委外廠商的風險越來越高，金管會也在思考，可以制訂相關自律規範，對於委外廠商或分包廠商，給予較為嚴格的監督要求。

他進一步舉例，像是台積電對其委外廠商成立了一個聯盟，或許金管會之後也可針對承包金融機構業務的協力廠商或委外廠商，成立一個協會或聯盟，訂定一套資安規範或要求。只有具備符合規範的廠商，才能承作金融機構資訊系統或相關作業，這是金管會初步思考的方向。

近期將發布金融資安職能地圖，培育資安人才有2大推動方向

金管會也要系統化培育金融資安專業人才，蔡福隆提到，前一陣子金管會邀集了各公會代表共同討論，依據金融資安職能需求，來訂定人才培訓地圖，等相關修正確定後，將會發布金融資安職能地圖。

在培育金融資安專業人才部分，金管會分為兩部分來思考與推動，一方面是鼓勵金融機構的資安人員取得國際資安證照，未來，金管會希望，金融機構資安專責單位的資安人員，至少要具備一項國際資安證照。

另一方面，是加強實務方面的訓練，蔡福隆進一步表示，其中又分為兩項作法。透過F-ISAC（金融資安資訊分享與分析中心）等組織，開設攻防演練、威脅獵捕等實務性的課程，來磨練資安人員在場域中如何處理相關問題，這是第一項。第二項考量是，每個機構都採購了許多資安設備，但，往往對這些設備的使用不夠深入，金管會希望，金融機構應該多開設自家所用資安設備的課程，讓設備功能參數調校更符合需求，才能發揮資安產品的效果。

金管會預計在今年建置攻防演練場域，強化資安人員處理資安事件應變能力

在強化資安演練廣度與深度部分，蔡福隆強調，金管會非常重視攻防演練這發展方向，希望用「以戰代訓」，透過攻防演練來強化金融機構的資安能力。攻防演練則包括了DDoS演練、紅隊演練、紅隊演練、藍隊演練、網路攻防演練實作、威脅獵捕（Threat Hunting）。

蔡福隆進一步透露，金管會預計今年要建置一個金融攻防演練場域，會由國內資安廠商協助建置與開發工作，基本上是以2019年參加行政院跨國攻防演練網站的情境腳本為基礎來發展，包括SQL Injection、木馬、勒索軟體等。他提到，此攻防演練場域，也會讓金融機構透過模擬演練，學習MITRE ATT&CK攻擊鏈知識；以強化金融機構資安人員處理資安事件的應變能力，提升資安人才培育容量。

F-ISAC正推動弱點管理自動化機制，二線F-SOC已有19家金融機構加入

另外，金管會也要進一步發揮金融資安聯防功能，F-ISAC自2017年底成立至今，已有376家金融機構會員加入，發布威脅警訊共有939則，在推動會員情資分享總計有512則。

蔡福隆透露，「弱點管理自動化機制」是目前金管會正在推動的重要方向，他解釋，F-ISAC是發布情資，可是情資如何自動化與金融機構介接，介接之後又如何變成一套弱點管理機制。金管會希望，金融機構本身要有一個管理系統，能自動找出該弱點相關的系統或設備，並自動通知管理的人員進行修補，且能即時管控修補進度。他強調：「透過由F-ISAC到金融機構，讓整個弱點管理整個一致化、自動化，而且是可以監控的機制。」

此外，蔡福隆表示，金管會鼓勵金融機構自行建置第一線SOC（資訊安全監控中心）。F-ISAC則已建置二線F-SOC（金融資安聯防監控平臺），更制定了95條資安事件聯防監控規則，且規則正持續增加中；他提到，透過金融機構送過來的情資進行分析，比如有些是針對臺灣的攻擊態樣，二線F-SOC就會將這攻擊態樣，通知尚未遭受攻擊的金融機構，達到互相聯防的功能。目前已有19家金融機構加入二線F-SOC，今年還會有11家金融機構加入聯防SOC來協同運作。

另外，針對全球金融產業發動多起攻擊事件的駭客組織APT 38，根據該組織的攻擊態樣，蔡福隆提到，將實作一個參照APT 38的自動化攻擊方式，且能運用在2項用途。其中一個用途，是在攻防演練中使用，假設模仿APT 38對金融機構的攻擊手法，在攻防演練場域中，資安人員是否有能力防禦，監控設施是否能監控到相關攻擊手法；另一用途是，提供給金融機構SOC運用，檢測是否有監控到相關攻擊態樣，並提供警訊。「強化監控的有效性，是我們的目的。」他強調。

同時，金管會也要求金融機構建構資源共享的資安應變機制。包括個別金融機構組成金控集團應變小組，可以是以金控或銀行為主體；並由公會或周邊單位成立資安應變支援小組；F-ISAC與F-CERT（二線金融電腦緊急應變小組）則負責金融資安應變體系。

鼓勵金融機構在異地備援演練時納入實際業務運作驗證

在落實災害應變復原運作機制上，金管會認為，「沒有百分之百的資訊安全，所以必須建立平時與終極防護能量。」作法上，蔡福隆表示，金管會將參考英國金融機構抵禦作業風險之能力的規範，來訂定核心業務識別、最大可容忍中斷時間，以及相關演練與壓力測試，作為業者遵循的依據。

在備援環境，金管會鼓勵金融機構在異地備援演練時，可納入實際業務運作驗證。蔡福隆認為，金融機構平時如果只做本地與異地備援，等真正發生災害會沒有信心進行切換，因為，切換過去後影響的因素非常多，包括資料是否正確，切換過程中資料遺漏要如何處理，以及，切換回來會碰到的狀況，都是可能面臨的困難。「只有真正將實際環境切到備援環境運行，之後萬一發生災害事件，才會有信心切換過去。」

此外，金管會正推動關鍵資料保全運作機制，包括資料保護、資料可移性、資料復原性及關鍵服務持續性等。

推動金融資安治理成熟度評估

另外，金管會也正在推動金融資安治理成熟度評估，是參考美國聯邦金融機構檢查委員會（FFIEC）訂定的CAT（Cybersecurity Assessment  Tool）。蔡福隆表示，希望透過金融資安治理成熟度評估，讓金融機構評估自身的資安狀態；去年，國內金融機構試做的結果是，在國外委外管理、自動化管理、資安創新部分，都是要待加強的部分。

此外，截至去年底，金管會統計，國內已有超過8成（30家）的銀行業者，以及逾9成（39家）的保險業者，證券業則有13家業者，都已導入國際資安管理標準（ISMS）驗證；在持續不中斷部分，正推動國際營運持續管理標準（ISO 22301），以及將備援演練納入實際業務運作。

針對農曆年前後不少家金融機構發生的簡訊詐欺事件，蔡福隆表示，除了金融機構在驗證部分要做得更加謹慎之外，也要提醒消費者提高警覺，不要隨意亂點網址。另外，F-ISAC也規畫建置偽冒網站偵測服務，避免民眾點擊到偽冒網站。文⊙李靜宜