【臺灣資安大會直擊】對抗後疫情資安5大威脅，國泰金融集團靠3策略

早在2018年，國泰金融集團旗下多家子公司與海外子公司，便設立了各自的資安專責團隊，但遵循集團一致性的資安政策。隔年，集團資安重點是先提升各子公司防禦能力；到了2020年，再成立集團資安監控中心（SOC），7X24小時監控集團資安狀態。從今年開始到明年，國泰金融集團最新資安重點則是韌性（Resilience）。

國泰金控副總經理林佩靜對外揭露自家集團如何由上而下推動資安，以及國泰對資安威脅的觀察。她表示，這一兩年間，特別是疫情發生以後，金融業的資安威脅層出不窮，且攻擊手法日新月異，國泰則觀察到5大資安威脅，包括遠距工作、BEC詐騙、供應鏈安全、雲端安全、物聯網（IoT）。

她解釋，因為疫情關係，企業需啟動遠距工作連線，增加了未授權存取及外部入侵等風險，這是資安威脅之一；另一威脅則是BEC電子郵件詐騙攻擊。加上，現今所有金融業都在大力推動數位轉型，比如導入新興科技或提供顧客更多的遠端服務，連帶顧客與金融業的互動方式因而改變，使得企業面臨的資安威脅也越來越大。

不管是員工工作模式的改變，還是顧客與企業互動模式的改變，林佩靜強調：「這些都讓金融業的邊界越趨模糊，企業資安負責人員的防守線，也越變越長。」。即便是金融業如此高度防護的產業，仍要有「威脅與攻擊一定會永遠存在且發生」的思維，企業資安主管更必須向經營者溝通與傳遞這項事實。

「資安主管的第一件事，就是訂定企業資安目標。」不過，她認為，有別於企業訂定業績目標時，通常是高目標、高挑戰。但，「資安的目標訂定，需務實且可達成」，可達成的意思是，如果一定會發生資安事件，企業所要追求的是什麼？希望不影響營運？或是，一旦影響營運要多久時間能夠恢復？林佩靜提醒，不單只是文字上的目標，更重要的是要將量化的KPI，包括營運中斷的時間、資料回復的時間等都要明訂清楚。

「訂出一個企業可達成的資安目標，代表資安主管與經營者的承諾，也是經營者對資安主管的支持，以及這家企業願意容忍與可接受的風險，究竟到何種程度。」這是一大重點，她強調。

有了資安目標之後，下一步，資安主管就能針對企業現況，以及想要達成的目標，在這兩者間，評估自家資安防護的強處和弱點。能與不能之處，都需要一併盤點。如此一來，企業資安主管就會知道該如何訂定資安策略。林佩靜表示：「必須要有系統性的思考，來訂定資安目標與策略。」

系統面思維是集團資安聯防，更要做到主動防禦

在金融業，可從系統、應用、人員3大面向的策略來看資安。首先，林佩靜提到，國泰在系統面的思維是「資安聯防」，集團旗下子公司採用一致性的資安政策，包括了系統架構，所採購的工具，以及工具背後的設定與檢核，都是一致。「目的是做到資安標準與防護水準一致，甚至，能做到主動的防禦。」她強調。

為了達到一致性的資安政策，企業必須設有一個資安框架。她解釋，所謂的資安框架，是指企業需有一套資安防護機制的基準，以及有一致性的標準可供遵循與管控，比如導入ISO 27001，或用MITRE ATT&CK來思考企業的防禦。林佩靜再次強調：「企業必須找到一套邏輯或方法論，來思考最基本系統面的防禦框架或防護地圖。」然而，這只是第一個起點。

訂定出資安框架後，企業更重要的是實行PDCA循環，林佩靜認為：「PDCA雖老套，卻是國泰確保整體資安防護有效性的心法。」尤其是在檢核（Check）環節特別重要，她舉例，國泰金融集團從基本的資安健檢到紅隊演練都實施，像是人壽與銀行已連續做了3年的紅隊演練，現在，包括產險、投信子公司也全面執行，目的就是要確保資安防護的有效性。此外，包括DDoS攻擊、ATM入侵等情境演練，企業都要不斷檢視。「資安不是一個買產品的過程，而是得確保整體機制與運作有效。」這是國泰由內而外，檢視自身資安到位程度的作法。

另一方面，企業也可建置SOC，由外而內來檢視自家資安框架與防護的有效性，是否禁得起所有的資安風險。林佩靜表示，國泰委外建置了SOC，在2020年底正式運作，以監控集團資安狀態，掌握資安風險。她個人認為，委外建置有2大好處，其中一個重要價值是，因為資安態勢動態變化，而且攻擊手法日新月異，例如現在國泰的集團SOC設有一百多條監控規則，但還會隨著外面的攻擊手法持續更新，讓國泰的防禦能更加即時，更希望能做到主動預警。

另一項好處是，國泰的資安人員每日會監看風險通報的狀況，也會針對每則事件進行回報與確認，林佩靖認為，這也能在無形中培養資安人才，及提升他們對資安攻擊事件的敏感度。

除了系統面的策略，企業還需關注人員面的策略。不管是員工或顧客，在這數位當道的時代，國泰認為，都需要落實必要的確認機制，才能存取金融業的服務。「目的是建立所有關係人的資安意識與資安文化，做到全民資安。」

像是近來因疫情，許多企業啟動居家上班的作法，林佩靜表示，這時正是重新檢視所有員工工作方式的好時機，包括員工工作時所使用的裝置，裝置存取的方式，以及溝通聯繫，協同合作與檔案交換等。長時間下來，便會在組織內埋下養成資安意識與文化的思維與習慣，她更認為：「即便經營者多麼支持資安投資，仍有它的極限，整體員工資安意識與文化的養成，才是防護的關鍵。」

在資安人才部分，國泰也有一套「反求諸己」的思維，林佩靜拋出一個問題，資工資管領域的職場新鮮人，為何要選擇進入金融業？她坦言，企業需有整體資安目標或策略，目的是讓資安人才知道，個人目標與企業組織目標匹配。此外，也要培育人才在金融業的領域知識，以及資安的專業技術，並且在信任的前提下培養團隊，讓人才感受到加入該企業後能夠有所成長。她呼籲金融業的資安主管：「設立資安人才的職涯路徑是重要議題，需要再用心好好思考。」

在顧客部分，隨著轉型的服務模式到裝置的提供越來越多，國泰在思考的是，如何在兼顧客戶體驗之下，與顧客互動的方式如App或簡訊，到金融業與顧客進行核身的方式，都能再增加更多確認機制，比如導入多因子認證，建立安全性提問，或像是重要交易強制採用生物辨識等。林佩靜認為，這是所有企業都要高度關注的議題。

從業務角度思考資安如何設計，更要關注供應商與雲端安全

國泰在應用面策略則採取「設計預設資安（Security by Design）」原則，不只是資安管控、資安查核，尤其是企業在數位轉型的過程中，林佩靜表示，更應該從業務角度思考資安如何設計在新的轉型專案中，目的是要有預防勝於治療的概念，在所有服務或商業模式設計之初，就將安全考慮進去。

因應數位轉型，不只軟體或程式得在一開始就安全開發，更重要的是，企業導入許多新興科技發展創新的服務模式或商業模式，比方說跨業合作。除了軟體開發外，還會牽涉到流程、資料流、資料的儲存管理等，都得基於安全來設計。她提到，國泰作法是每個專案開始，資安人員就加入討論服務模式與商業模式的創新，好處是資安人員能站在業務端立場進行安全設計，也會讓企劃人員理解資安人員關心的議題，進一步培養人員的資安意識與文化。

除了App、API這兩項已有檢核標準或法遵規範之外，林佩靜更提到，國泰正在關注多項資安應用議題，包括供應商、雲端、資料、開源軟體。

像是供應商資安，她提醒，企業與供應商合作時，可從前、中、後三階段來評估，前期可進行風險評估、遴選合格廠商、技術評選；中期則要設立開發標準、資料加密、查核；後期則需落實上線前的檢核，並要求供應商抹除資料與移除權限，或實地查核等，「得將這樣的制度都建立。」

另一項雲端安全議題，林佩靜預期，金融業完成數位轉型後，會開始走向雲端發展，不管是使用雲端服務，或有上雲計畫。不過，她坦言，雲端安全的議題範圍非常大，甚至與地端系統面的管理全然不同，從存取控制、金鑰管理、資料保密、組態管理、持續監控等。因此，她強烈建議：「不管企業是否打算往雲端發展，資安主管現在可以開始思考與培養具備雲端安全的資安人員。」文⊙李靜宜