金融機構不只要抗疫 更要防堵資安威脅

圖/Unsplash

自新冠肺炎疫情肆虐全球以來,遠距工作或居家上班(WFH)成為許多行業的新常態,卻也給予網路駭客可乘之機。國際清算銀行(BIS)的研究指出,以美國為例,去年3~6月各行各業在家上班多寡與網路攻擊事件頻率間存在正向關係,其中以科技產業為最,金融業位居第二。再就與新冠肺炎疫情相關的網路攻擊事件來說,截止去年9月初,各行業中除了健康及相關的製造業外,以金融保險的件數最多,占比達25.3%,顯見疫情令金融業乃至於整個金融體系承受極高的資安風險。

事實上,網路駭客攻擊金融業不是新鮮事。近年來隨著金融科技不斷創新與行動裝置的普及,金融業所提供的金融服務日益依賴應用程式介面(API)及與核心資訊系統橋接的科技,進而使大量敏感性個人資料與交易資訊暴露於不同存取管道,除了增加個人與業務機密資料外洩風險之外,也讓金融體系的資訊系統易遭受駭客攻擊。而且上至一國央行,下至個別銀行、電信業經營的金融系統都難倖免。諸如2016年2月孟加拉央行於美國紐約聯邦準備銀行的帳戶遭駭客入侵,竊走8,100萬美元;同年7月我國第一銀行內網也被入侵,導致ATM遭盜領8,327萬餘元;2017年10月我國遠東銀行用來連線環球銀行間金融電訊網路(SWIFT)系統的電腦遭駭客植入惡意程式,操控SWIFT系統轉帳並分批匯往不同海外銀行,金額約達6,000萬美元;去年10月遠在非洲烏干達的MTN與Airtel電信公司所使用的第三方支付系統也遭駭客入侵,損失不貲。

基此,國際監管機構金融穩定委員會(FSB)認為,由於金融資安事件難以完全避免,故金融行業不僅要做好事前防禦工作,並須具備在事發當時的緊急應變,以及事後的災害復原能力,才能增強網路韌性,降低網路攻擊的營運損失。知名的卡內基國際和平基金會和世界經濟論壇(WEF)更聯手對國際相關組織、各國主管機關及金融機構提出四大建言:

第一,駭客入侵事件有其國際合作的必要性和急迫性。考慮到金融系統在全球已緊密相連,彼此亦相互依賴的現況,以及現今的駭客少是單打獨鬥,而是形成有規模、有計劃地發動攻擊的國際金融犯罪組織,且每次攻擊受影響的對象已非侷限於單一機構等情形,想要僅憑單一國家、金融機構和金融科技公司單打獨鬥,有效預防駭客攻擊威脅的難度加大,使跨國合作有其必要性和急迫性。

第二,導入公司治理,明訂內部各自權責,要求經營管理階層重視,並成立具備獨立資安職能的專責單位。除了跨國合作,各個政府主管機關、金融機構和金融科技公司內部也必須訂出各自權責。例如歐洲銀行監理機關(EBA)所發布的「資通訊科技及安全風險管理指引」,即要求金融機構要將資安職能與一般資訊作業流程相隔離,以確保其獨立性與客觀性,並監控資安政策與措施之落實情形,定期直接向董事會報告,依實際需要不定期提供有關資訊安全及金融機構風險之建議等。

第三,成立金融資安資訊分享與分析中心(FISAC),推動資安聯防,提升資安防護能量。為了更好地保護金融機構因應駭客入侵等資安事件,各國案例分享與其所採取的行動方案,也甚為重要。例如美國金融服務資訊共用和分析中心(FS-ISAC)與英國資安分享中心(CiSP)即持續蒐集分析國內外金融資安情資,提供金融機構資安預警及強化資安防護建議。我國金管會亦於2017年1月成立類似的金融產業資安分享平台,經此架構,可積極與其他國家資安機構交流合作、擴大情資來源等,有效提升金融體系的資安防護能力。

第四,金融機構一旦發生資安事件,除了即時向主管機關通報之外,亦可透過FISAC資安分享平台查察有否其他業者遭遇類似的攻擊,並運用他行的相關案例與本身資安事故應變能力做好快速止血處理。至於對無前例可循且較為棘手的案件,則可透過外部專業資安服務團隊協助,即時有效地處理駭客入侵事故,防堵入侵管道,並儘速復原資訊系統至正常狀態。

要言之,由於國際間的網路連結既深且厚,新冠肺炎疫情又強化了金融服務的全面數位化深度,使金融服務提供者(包含傳統金融機構與新興金融科技業者)面對的網路攻擊威脅與日俱增。因此,營造一個良好的金融與服務發展環境,讓相關業者能在激烈競爭的市場環境下,持續安全地提供大眾各項新金融商品服務,實為金融服務提供者的一大挑戰。未來除了政府、中央銀行、監理單位、金融機構和其他相關資安團體應齊心面對網路攻擊外,金融服務提供者亦應自行擴建資安單位與培訓相關人才,以強化資安能力,才能提供優質、安全的金融服務,並藉此建構出自身在數位時代下的企業競爭力。

>>訂閱名家評論周報,關心全球財經大小事

延伸閱讀