專‧家‧傳‧真-日益迫切的金融業資安風險

在企業界,早就將應對資安風險視爲當務之急:在《2021臺灣CEO前瞻大調查》中,數位網路安全就在臺灣企業心中的五大風險高居第二名,近乎四分之一CEO受訪者都認爲,數位資訊攻擊是一大隱憂;2020年世界經濟論壇(WEF)出版的「全球風險報告」中,網路攻擊的影響(impact)風險和可能性(likelyhood)風險都名列前十名。

相較其他行業,金融業直接與資產相關,且含有衆多帳戶往來明細,尤其是有心人積極想要突破的重點。最常見的金融資安威脅可分爲阻斷服務(DDoS)、勒索軟體(Ransomware)、標靶式攻擊(APT)、詐騙簡訊結合僞冒網站(Scam SMS and Fake Website)及商業電子郵件詐騙等五種。去年英國外匯交易商Travelex就曾遭到勒索軟體攻擊;至於KEB韓亞銀行等七家韓國銀行,則是受到阻斷服務攻擊,突顯金融業的資安風險已經迫在眉睫。

面對全天候考驗,金融機構該如何做好資安?首先,建立重視資安的組織文化十分重要,資安長應直接向董事會報告,還要爲董事會及中高階人員設置資安情勢、風險管理等專業課程,以利董事會決策與管理團隊運作時,可更有效掌握情勢。資安長對內應檢視機構資安管理是否符合公會自律規範,對外則要廣泛參與預警體系,密切聯繫同業及主管機關、將資安訊息互通有無,才能防患於未然。

再者,定期演練、監控也很重要,資安長平時應設定透過公正第三方驗證作業程序,及導入國際營運持續管理標準,以確保營運持續管理量能;此外,還要模擬資安漏洞發生的情境,以找出管理盲點,並讓所有成員提高警覺,避免無意間造成漏洞。第三,若不幸爆發資安事件,民衆可能對金融服務產生重大疑慮,資安長應立即率領團隊緊急應變,爭取在最短時間內消除威脅,弭平風險,以強化金融體系的作業韌性。

「勿恃敵之不來,恃吾有以待之」,金融業的願景是提供客戶安全、便利的金融服務,但在資安高風險時代,先要確保系統營運能力與資料安全,才能不斷落實願景。國內金融業新設資安長,預料將進一步建立重視資安的組織文化,提高金融業資安治理能力,爲強化資安邁進一大步。