Embed Size (px)
Citation preview
2 ■ 財金資訊季刊 / No.94 / 2018.12
本期企劃〡推動我國金融資安聯防體系
推動我國金融資安聯防體系
蔡福隆 / 金融監督管理委員會資訊服務處處長
一、 前言
近年來全球金融科技蓬勃發展,運用新興
科技創新金融業務,已成為各金融機構主要策
略。為健全整體金融產業發展,保護消費者資
訊安全與隱私,進而維持金融秩序穩定,全
球主要國家金融監理單位無不積極強化其資訊
安全措施。美國紐約州金融服務署 (New York
Department of Financial Services, NYDFS)
2017年發布「金融服務業網路安全規範」,
要求受監理機構應遵循特定網路安全標準及訂
定以風險基礎的網路安全計畫。
我國金融產業資訊安全管理已行之有年,
惟近來駭客攻擊方式已朝全球化與專業化發
展,金融資安防護思維亦須改變。要言之,須
重新思考,以風險管理為導向、資安情資為驅
動,以系統性分析並預防資安事件的發生,塑
造重視資安的組織文化。
二、 建構金融資安聯防體系
為健全金融產業發展,強化資安防護能
力,除強化資安政策與制度面設計外,全球
主要國家相繼設立金融資安資訊分享與分析機
構,如美國有 Financial Services Information
Sharing and Analysis Center (FS-ISAC)、
英 國 有 Cyber Security Information Sharing
Partnership (CiSP)等資安分享中心。我國行
政院為建構國家資安聯防體系,推動 8大關
鍵領域建立資安資訊分享機制 (如圖 1),「金
融」為其領域之一。金管會乃於 2017年 12
月正式成立「金融資安資訊分享與分析中心
(Financial Information Sharing and Analysis
Center, F-ISAC)」,化被動為主動,藉由分析
預防系統性風險,協助金融機構防範來自全球
的資安攻擊。
金管會規劃建置 F-ISAC,早於 2016年 3
月由臺灣證券交易所以證券期貨業者為範圍,
先行試辦證券期貨資安分享中心。2017年 2
月幾家證券商遭受到國外駭客分散式阻斷服務
(Distributed Denial of Service, DDoS)攻擊,
證交所試辦的資安分享中心即發揮聯防功能,
協助業者建立對網路下單服務之即時監控,並
導入流量清洗機制,也建立遭受攻擊的緊急應
變處理程序。2017年 12月成立 F-ISAC,交
由財金資訊公司營運,以證券期貨業為基礎,
將服務範圍擴大涵蓋銀行、保險、證券期貨、
投信投顧等金融業別,目前已有 3百餘家金融
機構加入成為會員。
F-ISAC未來將持續深化並提供下列服務:
(一 ) 情資研判分析:蒐集及分析國內外金融
資安情資,提供情資研析報告,並適時
發出警訊予金融機構。
(二 ) 資安資訊分享:建置金融機構間資安情
www.fisc.com.tw ■ 3
推動我國金融資安聯防體系〡本期企劃
圖 1 8大關鍵領域資安資訊分享架構
資通報分享機制,並與政府、通訊等其
他領域進行情資交換及聯防。
(三 ) 警訊分享服務:接收金融機構通知之資
安警訊,並可依威脅等級發布緊急資安
情資通報金融機構事先防範。
(四 ) 資安諮詢與教育訓練:提供資安諮詢與
漏洞評估服務;辦理相關資安研討會。
(五 ) 協助資安事件應變處理:就金融機構之
資安事件,引介專業廠商或團體提供相
關之技術及鑑識支援。
(六 ) 建立資安事件改善之良性循環:就國內
外重大資安事件,探究問題發生原因、
事件應變處置程序等,動態檢討可供借
鏡改善之處。
F-ISAC藉由國內外來源管道蒐集更多的
資安情資,並將與美國 FS-ISAC合作,投入
金融資安專業人力研判分析,與金融業者共同
建立資安情資分享、聯防與資安防護改善的
良性循環;同時透過金融產業間資安情資的分
享,建構政府與民間之聯防體系。
此外,F-ISAC也規劃,未來將朝向兼具
金融電腦緊急應變小組 (Financial Computer
Emergency Response Team, F-CERT) 之 功
能努力,建立金融領域防護策略與防護基準,
輔導金融機構逐步落實及提升金融市場整體
應變與防護能力;並搭配國家層級的 ISAC、
CERT機制,達跨領域情資分享與緊急應變,
強化縱向通報與橫向通知機制,共同建構國家
層級資安聯防體系。
F-ISAC預期成效如下:
(一 ) 提升金融產業資安防護水準:透過資安
資訊分享方式,提供金融機構預先加強
防範,並提升其資安專業知識,強化金
融市場整體資安防護水準。
4 ■ 財金資訊季刊 / No.94 / 2018.12
本期企劃〡推動我國金融資安聯防體系
(二 ) 強化金融業資安聯防:透過金融產業及
其他領域間資安情資的分享,建構政府
與民間之聯防體系。
(三 ) 預防資安事件擴大:藉由完善的通報及
應變處理程序,協助事件分析、鑑識與
追蹤處理,適時通報其他金融業者,防
範資安事件擴大。
三、 金融資安的監理政策
雖然近年國內金融業陸續發生重大資安事
件,帶給金融業資安管理相當大的衝擊,但也
驅策金融資安的監理政策更為精進。我國現階
段金融資安政策,係透過結合金融監理、設置
資安專責單位、完備資安法規及強化金融資安
檢查等政策 (如圖 2),推動各項金融資安強化
措施。相關資安政策如下:
(一 ) 資安與監理工具相結合
業務發展是金融機構生存的命脈,若將資
圖 2 我國現階段金融資安政策
安辦理成效與業務發展相連結,必會提升金融
機構經營階層對資安的重視,進而型塑成組織
文化的一部分。爰此金管會目前規劃的監理措
施如下:
1. 將資訊安全辦理情形納入金融業者申辦業
務准駁考量:對於銀行業者申請開辦業務
案件,倘有未落實相關資訊安全管理之情
事,將作為金管會准駁考量因素之一。
2. 資訊安全納為存款保險費率計提之因素:
中央存款保險公司對要保機構體質風險程
度採取不同收費費率,對於資訊安全執行
較好之金融機構適用較低費率,以促其提
升資訊安全防護及管理。
(二 ) 設置資安專責單位與主管
專業的組織與充足的人力是金融機構完善
資安管理重要的基礎。以往金融機構資安管理
的工作,大部分歸屬於網管科負責。雖然資安
工作與網管息息相關,但面對日益專業與複雜
的駭客行為,須有更專精的人力與專責的單位
結合
金融監理
強化金融
資安檢查
設置
資安專責
單位與主管
完備
資安法規
www.fisc.com.tw ■ 5
推動我國金融資安聯防體系〡本期企劃
辦理,始能竟其功並施以適當課責管理。相關
措施如下:
1. 設置資安專責單位及相當層級專責主管:
資訊安全與日常資訊科技的維運進行區隔,
透過專責單位執行資訊安全業務,以確保
其監督各類營運業務安全之獨立性。金管
會要求金融機構設置資安專責單位及相當
層級之專責主管,且配置適足人力及資源,
以有效執行資安防護工作。以銀行業為例,
目前 37家本國銀行及中華郵政股份有限公
司均已設置資安專責單位及主管。
2. 研議設置專責資安長:區分資訊技術營運
及資訊安全的職能,以為相互制衡已是當
前的趨勢。設置專責資安長一職,對確保
資訊安全在該機構之獨立性具有重要的意
義。金管會已公布「金融控股公司及銀行
業內部控制及稽核制度實施辦法」部分條
文修正,增訂前一年度經會計師查核簽證
之資產總額達新臺幣一兆元以上者,應設
置具職權行使獨立性之資安專責單位 (應
獨立於資訊單位外且組織層級相當 ),並
指派協理以上或職級相當之人擔任資安專
責單位主管,且明定資安專責單位及主管
之權責。
3. 推動資安人才培訓:面對快速變動的資安
威脅,金融機構資訊安全人力之技術也需
持續精進。辨識資安人才所需之專業技
能,規劃金融業資安人員之職能地圖,進
而鼓勵訓練機構開設相關資安課程,透過
定期、不定期之資安人才培訓計畫,同時
要求金融機構加強資安人才培訓,是必須
持續努力的方向。
4. 強化組織資安認知:除資安人員能力應與
時俱進外,金管會亦要求金融機構對一般
使用者及主管亦應持續辦理資安宣導及認
知課程;針對駭客最常利用之手法 (如電
子郵件社交工程等 ),應定期辦理演練,
以強化組織內部人員安全意識,檢驗資訊
安全之落實程度。此外,也針對重點資安
事件,透過公會辦理案例分享及防護研討
會,吸取經驗避免類似事件的重複發生,
並增加業者間交流的機會。
5. 提升董事會資安職能:除了在組織面推動
提升資安專責單位層級外,也要求最高經
營管理層級重視此一議題。以銀行業為
例,要求銀行將每年資訊安全整體執行情
形於次年第一季前向董事會報告,督促董
事會重視並確保資安內部管理及實務作業
之有效性。
(三 ) 完備資安規範
為確保金融機構資訊安全有效執行,有共
通之標準可供遵循,金管會督導各業別公會自
行訂定自律規範,並作為各金融機構內部控制
制度重要的一環。以銀行業為例,訂定「金融
控股公司及銀行業內部控制及稽核制度實施辦
法」,要求銀行業依第 38條規定,應對業務或
交易、資訊交互運用等建立資訊安全防護機制
及緊急應變計畫;另第 38-1條規定,要求各公
會應訂定並定期檢討資訊安全自律規範。爰此
銀行公會訂有「金融機構辦理電子銀行業務安
全控管作業基準」、「金融機構辦理電腦系統
資訊安全評估辦法」、「金融機構提供行動裝
置應用程式作業規範」及「運用新興科技應注
意事項」等相關安控規範,以供金融機構遵循。
另於證券及期貨業者部分,臺灣證券交易所
及臺灣期貨交易所均已有訂定「建立資通安全檢
查機制」,規範證券商及期貨商辦理資通安全之
內部控制及稽核標準。保險業部分,亦已督導保
6 ■ 財金資訊季刊 / No.94 / 2018.12
本期企劃〡推動我國金融資安聯防體系
險相關公會建立資訊安全防護自律規範、電腦系
統資訊安全評估作業原則等資安機制。
因應資安威脅與新興科技發展,資安相關
法令規章亦須持續檢討是否完備,適時修訂。
例如 2017年為因應 DDoS攻擊,請證券期貨
業者及投信投顧業者訂定「分散式阻斷服務防
禦與應變作業程序」;以及因應 SWIFT事件,
修正「金融機構辦理電腦系統資訊安全評估辦
法」,將 SWIFT系統列為檢測範圍,並委由
第三方機構每年進行檢測等。未來,金管會亦
將賡續協同相關周邊單位、公協會等,配合國
內外資安發展,適時檢討修正相關安控規範。
(四 ) 強化金融資安檢查與演練
證之以往資安事件的發生,並非制度與規
範不完備,而是各項資安標準程序與防護措施
執行不落實或便宜行事。為落實資安稽核三道
防線 (執行人員、內部稽核及外部稽核 ),相
關推動措施如下:
1. 強化管理制度及資安稽核功能:將資訊
安全納為金融業者內部控制及稽核重
點,定期及不定期辦理自行查核;同時
也推動導入資訊安全管理制度國際標
準 (Information Security Management
System, ISMS)及通過第 3方驗證,增加
由外而內之驅策動力。
2. 加強金融機構資訊安全檢查:金管會檢查
局負責規劃執行金融機構之金融檢查,資
安檢查已是檢查重點之一。除定期辦理金
融機構資安檢查外,也針對重點議題 (如
ATM、SWIFT)辦理專案檢查,並就檢查
發現之缺失提列檢查意見,研議對違失之
裁處,督促改善作為。
3. 辦理資安演練,加強事件通報應變能力:
為能於資安事件發生後妥適因應,金管會
要求金融機構應每年辦理核心系統之營運
持續演練,確保對業務運作之傷害減至最
低,保障客戶權益。另外,定期辦理金融
機構事件通報演練,以驗證金融機構面對
資安事件之反應速度。
4. 增強資安演練的深度與廣度:以戰代訓,
是檢視資安防護弱點及相關資安防護措
施是否落實執行的有效方法。金管會在
2017年度行政院資安攻防演練中,偕
同金融機構配合辦理跨領域情境演練及
DDoS攻防演練,對檢驗金融機構的事件
通報與應變處理能力,以及 DDoS防禦
機制之有效性,都獲致相當好的成果,未
來也將持續規劃辦理。
四、 結語
展望未來,金融科技的發展方興未艾,隨
著金融服務與型態多元化、跨域創新連結及行
動應用普及,須兼顧科技創新與風險管理,才
能為社會帶來最大的福祉。金管會配合行政院
資安聯防政策,建構金融業間之資安情資早期
預警及通報分享機制,除持續深化 F-ISAC金
融資安專業能量與服務外,亦將與政府、電信
等其他領域進行情資交換及聯防,以提升金融
市場資訊安全整體應變與防護能力。
另為督促金融機構重視並落實資安管理,
也將賡續從法規、技術及執行等政策面向,研
議推動強化我國金融資安管理措施,並續與金
融周邊單位、相關公協會及金融業者共同努
力,以面對日益嚴峻的資安挑戰。
