臺灣金融資安新里程碑：台新銀行成臺灣首家以銀行名義加入FIRST的業者

在全球網路威脅日益嚴峻、攻擊手法不斷翻新的今日，資安聯防已從「選擇」走向「必要」。在法規遵循與資安事件頻傳的雙重驅動下，臺灣金融業正積極強化資安防護能力。其中，台新銀行於 2024 年 11 月下旬正式宣布加入國際資安事件應變小組論壇（Forum of Incident Response and Security Teams，FIRST），成為臺灣首家、也是迄今唯一一家，加入此一全球最大資安事件應變與協作組織的銀行業者。這不僅為臺灣金融資安聯防樹立了全新的里程碑，更展現台新銀行致力提供客戶更安全、便捷且可信任的數位金融服務的堅定決心。

實際上，不少國際銀行已經直接以銀行或金融機構的CSIRT（Computer Security Incident Response Team，資安事件應變團隊）團隊身分，成為FIRST（國際資安事件應變小組論壇）的會員，成員構成多元，涵蓋全球頂尖金融機構。

大家耳熟能詳的銀行業者，包括：美國銀行（Bank of America）、新加坡星展銀行（DBS Bank）及歐洲中央銀行（European Central Bank）等，都是直接以銀行的CSIRT名義，加入FIRST國際資安組織。

台新銀行也加入臺灣金融業者自發組成的F-ISAC（金融業資安情資共享與分析中心），台新銀行資安長陳詰昌表示，選擇另外以台新銀行TSB-CSIRT的名義加入FIRST，除了代表該銀行的資安事件應變能力獲得國際承認，該公司也成為全球資安信任與情報共享網路的一份子，他認為，台新銀行加入FIRST的作為，除了具有戰略價值外，也同時面臨組織與資源上的挑戰。

可以肯定的是，FIRST強調合作快速應變，同時促進資安事件預防及成員間情資共享協作，台新銀行CSIRT團隊從無到有，從紙上組織到實戰應變的發展歷程，以及加入FIRST後所面臨的挑戰，都將對未來臺灣金融資安生態帶來新的挑戰。

從合規到實戰，台新銀行CSIRT的轉型之路

台新銀行的資安事件應變團隊（CSIRT，也稱IR Team）的成立並非一蹴可幾，陳詰昌指出，該團隊約在2020年9月左右，已具備形式上的組織架構，但真正開始發揮功能，是在他上任之後。「在此之前，團隊可能更偏向『形式上面』的存在，直到後來才比較有在演練和培養人才。」他說。

台新銀行資訊安全部資深協理劉俊良補充說明，CSIRT團隊成立的初衷，是受到業界震撼的一銀和遠銀等資安事件啟發。儘管這些事件發生已久，但金融單位陸續仍有各種資安事件，因此，劉俊良表示，成立CSIRT的核心思考點在於：「如果台新銀行也發生同樣的資安事件時，我們是不是有這個能量跟資源去處理這件事件？」。

CSIRT團隊在成立初期，台新銀行採取自行摸索的方式，去打造屬於自家的CSIRT，當然也參考其他金融單位的組織和內容。劉俊良解釋，當時CSIRT團隊的性質是一個虛擬組織（Virtual Team），其成員組成是「跨部門」組成的。

陳詰昌進一步指出，除了主要的IT和資安部門成員外，還有其他部門的人參與這個跨部門的虛擬組織，例如公關、保險、總務，以及風管、法務和稽核等。

他特別強調，團隊的實際成員數量和涵蓋範圍，其實會依據「資安事件本身的性質和發展重要性來決定」。例如，如果事件不涉及外部單位或客戶，公關部門可能就不需要「啟動」，但可能需要被通知。

從紙上組織到實際維運，提供資源和角色釐清

陳詰昌指出，台新銀行CSIRT團隊的成立，從原本的紙上組織──只有組織規章，到後來實際運作──還提供工具，這是個逐漸成熟的演變過程，有賴公司願意提供足夠的資源，也讓同仁可以在過程中摸索並釐清角色。

台新銀行對CSIRT團隊的投入，體現在多個面向。陳詰昌提到，首先是文件的檢視，第一步就是：規章要出來，這樣同仁才知道「哪些時候他要做些什麼事情」。

其次是「組織」，發生資安事件時，「誰要當責」，也就是誰是負責這個事件後續處理的中心負責人，「這個組織架構要出來。」他說。

「公司最重要的資源投入之一，就是人員的教育訓練」，他強調，台新銀行其實安排了許多「藍隊」的教育訓練，並邀請許多外部專家，為包括所有子公司在內的同仁進行教育訓練，教導他們一旦遇到資安事件時，「第一時間要做什麼、該做什麼，有什麼工具可以提供協助」。

陳詰昌特別強調「第一線處理人員」的角色定位。他指出，銀行或外部顧問常傾向於「聚焦在數位鑑識」，這不是說不該做，但是，他認為，「數位鑑識不是內部資安團隊的第一要務」。

他進一步解釋，第一線人員應該聚焦於第一時間的應變，例如，重要證據的蒐集，因為，有證據你才能夠去把事件做重建；而事件重建的目的，就是要找出資安事件發生的根因，然後能夠徹底的解決。

在處理資安事件時，判斷事態是否嚴重到可能進入司法程序「很重要」，他表示，如果要上到法庭，那麼「證據保全就必須優先」；然而，絕大多數的資安事件，它不見得是一定要進到司法程序，這時候可能會以「維運優先」，也就是「讓客戶的服務權益不受影響」作為優先選擇。

陳詰昌坦言，這個部分很依賴經驗，資安事件應變（IR），其實很仰賴現場處理的資安鑑識專家的經驗，才能夠判斷到底要怎麼樣下決策，到底要往哪一條路走是對公司最好。

他也觀察到，多數公司內部資安同仁處理資安事件的經驗不夠多，或是事前訓練和準備不足，導致同仁在遇到資安事件時「可能會慌」甚至「下錯判斷」。為了解決這個問題，陳詰昌強調「要給工具」。他表示，公司應該給第一線同仁「可以無腦的、直覺式使用的腳本工具（Script）」；執行腳本程式後，就可以先幫公司初步收集重要的證據（Evidence）；至於更困難的深入分析，則可交由專業資安專家協助。

從建立韌性思維，看CSIRT團隊應變能力的迭代進化

在建立和運作CSIRT團隊的過程中，台新銀行確實遇到了不少挑戰。陳詰昌表示，首先是「觀念的不一致」，因為大家對於資安事件應變（IR）的認知不同，即使成立了團隊，對於團隊「到底要做什麼」、「團隊成員的角色」、「要做哪一些事情」，以及這個團隊「希望為公司帶來什麼樣的效益」，可能存在認知的落差；尤其是，資安投資效益難以量化，高層不清楚為什麼要做這件事，是另一大挑戰。

陳詰昌觀察到，過去大家長期以來都把重點擺在前端，也就是「不要讓駭客進來」；然而，現在的趨勢顯示，要阻擋駭客入侵，已經變成「不太容易達成的事情」。因為，攻守雙方是處於不對稱的狀態，駭客「只要找到一個弱點，就可以進攻企業組織內部」。

他表示，台新銀行每年都做紅隊演練，從近幾年的演練結果也發現一些原本沒有注意到的弱點。這代表：台新銀行其實有很多潛在的弱點還沒有被發現。因此，台新銀行必須調整思維，將重點轉向「一旦資安事件發生的時候，怎麼做到減輕損害，怎麼做到保持韌性（Resilience）」。

陳詰昌對「韌性」有獨特看法。他認為，韌性不是單純的維運持續，而是要假設「今天公司遇到一個沒有事先設想到的狀況時，該如何維持營運？」最常見的就是各種資安事件，這些往往出乎意料之外、沒有應變計畫的，在這種狀況下，陳詰昌會要求公司資安同仁去思考：「如何做最即時的判斷，才能達到將公司損害降到最小的處置作為」。

最大挑戰不在合規，而在讓CSIRT活過來

陳詰昌表示，CSIRT成立到實際運作的過程中，最大的挑戰是「怎麼把原本的紙上組織，變成實際可以維運和執行的活生生的組織」。台新銀行資訊安全部資深協理劉俊良則提到，金融業有時過於「合規」導向，雖然「你有手、有腳」（組織和文件規章），但「原則上不能動」。

台新銀行資訊安全部協理林世杰則補充，技術層面遇到的挑戰包括「人力、設備和經費」上的差距。陳詰昌坦言，他剛上任時，第一次參加銀行紅隊演練後，就明顯感受到衝擊，當時CSIRT團隊剛成立不久，同仁們還不太熟悉運作，不清楚各自角色定位，單靠成立組織和上課，「能量是不太足夠的」。

「講一百遍，不如自己遇到一遍」，有時候真的要親身體會過一次，才會知道那個痛，陳詰昌說道。他也強調，但這個「痛」，不能對個人或公司造成致命性影響才行。

為此，陳詰昌提出了更多元的演練想法。例如，演練時加入外部單位如調查局，或結合BAS（攻擊模擬系統，俗稱數位靶場）來「驗測台新銀行資安設備的有效性」。

他認為，台新銀行透過不斷完善演練場景和情境，讓CSIRT團隊的「雛形」日漸成熟，「透過各種資源投入，慢慢的增量、慢慢的迭代，CSIRT團隊就可以做得越來越好。」他說。

台新銀行成為臺灣第一家加入FIRST的銀行業者，為國際聯防奠基

陳詰昌表示，決定讓台新銀行CSIRT團隊申請加入FIRST，並非是一時興起。他觀察FIRST已久，早在公部門服務時就注意到該組織。來到台新銀行後，他觀察到臺灣陸續有越來越多的各類型企業加入FIRST，他認為，這可能受到外部環境因素影響，例如，現在的資安事件越來越多，每個人都沒辦法置身事外，必須要透過「聯防」來鞏固資安。

陳詰昌解釋，該公司基於三大核心效益，選擇申請加入FIRST國際資安組織，包括：擴大聯防、人才培育與品牌提升

台新銀行選擇加入FIRST的第一個原因就是：希望擴大聯防的範圍。陳詰昌強調，台新銀行已加入由國內金融業者聯合組成的F-ISAC（金融資安資訊分享與分析中心），F-ISAC也是FIRST國際資安組織的成員之一，但台新銀行選擇以TSB-CSIRT（台新銀行CSIRT團隊）的身分加入FIRST之後，目的就是希望則能夠藉此接觸更廣泛的國際資安情資。

「第二個主要原因是，期待同仁能多多參與國際組織」。陳詰昌回憶，過去在公部門有較多機會參與國際資安會議，如Black Hat、DEFCON或RSA等國際行的資安會議，但來到台新銀行後，則發現同仁很少參與國際會議。他認為，加入FIRST之後，至少有一個正式名目，藉由他們每年固定舉辦的年度會議，編列相關的預算，鼓勵同仁參加國際會議，讓同仁們「多去看看人家到底怎麼做、多交流」，了解其他參與會員因應資安的思維或趨勢發展等，可以趁機更新一下腦袋。

「第三個效益是提升品牌形象（branding）」，陳詰昌提到，台新銀行加入FIRST的新聞公開後，引起廣泛關注，不僅國內，可能國外也注意到「原來臺灣還有一家台新銀行」。

他表示，這對公司的商譽是正面的效果，同時也是品牌展現，可以幫助台新銀行「打一個免費的廣告」。他指出，資安也是現在ESG（環境、社會、公司治理）考量中的重要項目，ESG的一個共通關鍵點就是：「如何在事件發生後，能夠馬上復原，然後防止下次再發生類似的事情」。

陳詰昌認為，雖然ESG聽起來都是無形且難以具體量化的事情，但對於公司高層來講，這些都是有價值的事情。他強調，台新銀行透過通過ISO 27701、加入FIRST 資安國際組織等亮點，可以讓客戶知道台新銀行做了些什麼，間接提升客戶對公司的信心。

爆量情資帶來的量變與質變，成為主動思考有願景的資安專家

提及加入FIRST的過程，陳詰昌表示，一開始是由該公司資訊安全部副理葉雅妘於去年初進行相關調查，並尋求了外部協助，例如找了勤業眾信（Deloitte）協助輔導加入程序。

他認為，這個加入FIRST的過程，就是透過公正第三方來，幫忙台新銀行檢視內部資安成熟度達到什麼樣的水準，並提供哪邊可以再修正的建議，這對台新來說是「好事」。

加入FIRST後，最直接的「量變」就是「情資變多」了。陳詰昌笑說，每天跟情資有關的E-mail，收都收不完，但這是「應該早就預期到」的結果。

因應情資的「量變」，台新銀行也必須要有後續作為。他提到，台新銀行於2024 年開始導入SOAR（資安自動化應變）系統，目的就是希望將各種外部情資，做到能自動匯入情資分析系統；此外，ISO 27001改版後有個「危險情資」項目，剛好可以與此結合。

陳詰昌認為，接收到資安情資時，他延續以往當警察時的習慣，會「把每一個情資都視為是一個被害者」，也鼓勵同仁在處理這些情資的過程中，能夠多去看看、多了解情資可能是什麼狀況。

他認為，當資安同仁真的可以看懂這些情資所代表的意義時，就會「慢慢變得有感」，因為「你如果沒真的去看情資，對情資的變化，其實是沒感覺的」，就不會知道，原來情資的數量這麼多，其中，還有一些情資分享的內容中，會揭露一些「手法」或是「IOC（Indicators of Compromise）」等多元狀況。

至於海量情資對台新銀行帶來的「質變」和「效益」，陳詰昌希望，透過鼓勵資安同仁處理大量情資和整理這些情資的過程，有助於協助他們改善日常資安維運的流程，對於未來要進行的硬體或系統的投資，能有「更清晰的判斷」。

陳詰昌最大的期待是，不要每次都是長官要求資安同仁做什麼，他希望有一天資安同仁可以主動向他提報想做什麼。例如，同仁可以從綜合情資中發現：近期在端點設備（Endpoint）的風險更高一點，進而回過頭來，主動向長官建議資安部門最近應該投注心力，放在端點設備的防護上面。

他認為，資安同仁如果可以更主動討論這些事情，如「資安部門應該要做什麼」、「明年要做什麼、後年要做什麼」、「為什麼要這樣子做等等」，就代表他們已經開始有自己的思考，有想法也有能力，然後知道自己在做什麼。

陳詰昌用「三個泥瓦匠」的故事，比喻他對資安同仁的期待。這三個泥瓦匠對於他們的工作描繪，一個自認為只是在砌牆，一個說自己在做城堡，但還有一個表示自己在蓋一座城市。因此，他期待台新銀行的資安同仁們，未來都是有能力蓋城市的泥瓦匠，未來都是資安領域的專家。

在效益方面，除了對公司有信譽上的提升外，陳詰昌也回頭去看，「為了加入 FIRST這件事情，台新銀行做了什麼」，以及這件事情為同仁帶來什麼效益。

他再次強調，數位鑑識與第一時間應變（IR）角色和本質是不一樣的。他曾對五百多位子公司同仁進行線上授課時強調，「數位鑑識不是資安部門的首要任務」，更重要的是，「面對資安事件發生時，第一線的資安部門同仁，在第一時間應該如何應變？」

例如，要判斷是否是真的資安事件，之後應該如何應變，最立即的判斷就是：是否需要斷網，是否必須要蒐集證據準備上法庭，或是要做其他什麼動作因應等。「上述這些，才是第一線同仁所應該思考的工作內容。」陳詰昌說道。

他認為，就像紅隊有自己的工具一樣，台新銀行也應該有專屬自家資安部門使用的工具，關鍵在於：這是一個符合台新銀行內部環境的緊急救援工具。陳詰昌認為，有了工具之後，第一線同仁在資安事件發生時，才能「知道怎麼應變」。

導入CDM量化資安效益，資安人才培育：從「保護公司」到「保護個人」

儘管資安投資的重要性無庸置疑，但其效益衡量一直是個難題。陳詰昌資安長坦言，資安的投資和績效「還是很難具體衡量」。然而，他堅信，「你不做，就是零；你做了，分數就會慢慢提升」。

為了更有效地衡量資安投資效益，台新正在嘗試導入「Cyber Defense Matrix（CDM）」的概念。台新銀行資安部副理葉雅妘解釋說，這個CDM其實就是一個5乘5的矩陣，橫軸分別是NIST CSF 的五大類別：識別、保護、偵測、回應、復原，並且加入了以資產類別畫分的縱軸：設備（Devices）、應用程式（Application）、網路（Network），資料（Data）與人員（User）。

葉雅妘表示，這是一種「以成果為導向」的衡量方式，透過衡量「各個面向的指標」。例如，在人員方面，可以評估實施教育訓練或社交工程演練後，同仁的資安意識是否能有效提升，她說：「他們會先去做這個評比，然後可能以每季或每年來檢視。」

又如，針對電腦中毒事件，則會去看使用者和操作行為的關係，像是操作電腦時的網路衛生習慣，或是有沒有防禦不足的地方，需要補強進而加強相關資安投資。她指出，公司希望藉此有一個比較量化的結果，去呈現「這個投資是不是有效益」。

陳詰昌則補充說道，資安要做到持續改善，但問題在於「你沒辦法量測，就不能改善」。因此，他認為，如何量測資安投資的效益，是資安部門最大的功課，他也特別強調量測、量化的重要性。

在教育訓練方面，陳詰昌強調資安意識與個人關聯的重要性。他提到，社交工程演練的教育訓練，不會只刻板地告訴同仁「你不要點擊連結」，反而會從「保護個人不要被詐騙」的角度出發。

他指出，很多人本性都太善良了，太容易信任別人，結果就是「容易被詐騙」。他會舉很多銀行用戶被騙的例子，例如點擊臉書廣告後輸入信用卡資料，或是收到假冒中華郵政、台水、台電的簡訊或郵件；甚至有高階主管收到其他銀行的通知簡訊，第一直覺以為收到詐騙簡訊，事後查證後才發現，原來不是詐騙。

他表示，透過這些案例的分享，都可以讓台新銀行的同仁意識到，資安與個人生活「息息相關」。他甚至會問同仁「台新的網域是什麼」，來強調辨識網域真偽的重要性。

「要讓同仁對資安防護有感，一定要讓同仁覺得，銀行種種措施的目的，是為了保護個人，而不是單純為了保護公司系統。」陳詰昌說道。

培養資安領導者，鼓勵主動貢獻與獨立思考

對於加入FIRST之後，陳詰昌表示，他對於台新銀行自家的CSIRT團隊也有不一樣的期許。他再次強調「主動性」與「獨立思考」的重要性。他特別鼓勵同仁，要多多參與外部的討論，例如，參與銀行公會不同工作小組（Working Group，WG）組別，特別是關於資安相關法規擬定的會議。

他意識到，銀行應該更有意識地培養更多資安接班人，由其他具備專業能力、但目前可能職階還不高的同仁代表出席，這對他們也是一種訓練和磨練。

陳詰昌表示，參加這種法遵相關的會議，可以知道討論過程中，對於法條制定的前因後果、來龍去脈，也有助於判斷某條法規的適用原因，這樣才不會發生「看到某一條法規，不知道為什麼要這麼制定，然後就只能照做而已。」

他強調，讓下面的同仁多去參與，而不是總是由某些高階主管出席這類法遵會議。因為，只有參與其中，才能真正做到「知其然、知其所以然」，特別是涉及合規的部分，如果知道當初討論的過程的歷程，就會知道「為什麼這樣定，背後緣由是什麼」。

這類會議之所以珍貴且重要的原因在於：所有的法規都不可能強硬到大家都無法配合，總會保留一些彈性，陳詰昌說：「而那個彈性的判斷標準，往往是在討論的過程當中，由各家銀行分享實際窒礙難行的地方才產生的」。

所以，陳詰昌對於台新銀行加入FIRST國際資安組織，也是基於類似的邏輯。他認為，在這種國際性的場合中，往往會有許多討論，可以知道大家對資安事件的觀點為何。

若以「零信任」為例，他認為，各家銀行都會「一個零信任、各自表述」，對他而言，了解其他銀行同業的不同觀點就很重要。陳詰昌強調，不希望銀行資安同仁處於一個一言堂的工作環境，希望透過更多面向的觀點交流，進而鼓勵同仁能更主動表態，願意在這樣的場合中分享他們的觀點，並可以透過與他人討論的方式，對自己的觀點可以有更多琢磨。

總的來說，陳詰昌對CSIRT團隊最大的期許是，不只是被動執行指令的團隊，希望透過更多經驗累積和情資的分析學習，成為具備獨立思考和判斷能力的資安團隊。

他希望CSIRT團隊成員能夠「像蓋一個城市」的泥瓦匠一樣，心中可以看到更大的願景，而不是只是做一個砌牆或蓋城堡的泥瓦匠而已，能夠累積更寬廣的視野和高度，逐步成長為資安領域的領導者。

他相信，透過這樣一個長時間的訓練，和每一個環節的歷練，可以讓資安團隊的成員，都成為具備思考和動手能力的資安官。

資安共好，共築信任的數位金融未來

陳詰昌坦承，資安的投資和績效還是很難具體衡量，但是他堅信，「你不做，就是零；你做了，分數就會慢慢提升」。這也是為什麼台新銀行成為臺灣第一家加入FIRST的銀行業者的原因。

他說：「加入FIRST以及持續推動CSIRT的發展，都是希望提升台新銀行在資安領域的整體能力和成熟度」。

透過加入FIRST這樣的國際平臺，陳詰昌表示，台新銀行不僅將資安聯防生態系擴展至全球，與全球頂尖團隊合作交流，共享資安威脅情資，提升應對網路攻擊的能力。更重要的是，「這也為內部CSIRT團隊創造了學習、成長與展現的機會。」他說。

陳詰昌相信，台新銀行CSIRT團隊正一步步努力，將資安從「合規」要求，逐步轉化提升業務發展和韌性的關鍵力量，台新銀行正在往「為客戶提供可信任的數位金融服務」的願景努力著，並對臺灣金融環境的整體安全與發展，貢獻一份心力。

台新銀行成為台灣第一家以銀行業者身分加入FIRST國際資安組織的舉措，不僅為自身資安防護能力開啟新篇章，更為臺灣金融產業在全球資安合作樹立典範。他笑說：「這是一個充滿挑戰的過程，但也充滿了培養未來資安人才、實現資安共好的願景」。

隨著全球網路威脅日益加劇，金融業資安不再是單打獨鬥的戰役，而是需要國際聯防、共同進步的長期工程。陳詰昌認為，他希望透過分享台新銀行的經驗，可以為臺灣金融業面對未來資安挑戰，提供寶貴的借鑒與啟示。

台新銀行資安長陳詰昌表示，他對該公司CSIRT資安團隊的期待是成為具有願景和高度的「建造城市的泥瓦匠」，透過主動性和獨立思考，成為資安領域的專家。