日益迫切的金融業資安風險

較其他行業,金融業直接與資產相關,且含有眾多帳戶往來明細,尤其是有心人積極想要突破的重點。圖/美聯社

文/吳麟 KPMG副執行長暨金融服務產業主持會計師

在後疫情時代,普羅大眾對數位化需求有增無減,資安風險也更加殷切。為統籌全國金融機構的資安工作進度,金管會先於去年公布「金融資安行動方案」,今年九月,金管會所屬銀行局、保險局及證期局也完成修法,明定符合條件的金融機構須設置「資安長」(CISO);以銀行業為例,須指派副總經理或職責相當的管理人員擔任此職,六個月緩衝期屆滿後,38家本國銀行的資安長都要到位。連同銀行,全台將有65家金融機構設置資安長,範圍涵蓋銀行、人壽保險、證券商、期貨商,到投信投顧,連證交所、櫃買中心、期交所與證券集中保管所也在內,突顯政府對金融資安議題的高度重視。

在企業界,早就將應對資安風險視為當務之急:在《2021台灣CEO前瞻大調查》中,數位網路安全就在台灣企業心中的五大風險高居第二名,近乎四分之一CEO受訪者都認為,數位資訊攻擊是一大隱憂;2020年世界經濟論壇(WEF)出版的「全球風險報告」中,網路攻擊的影響(impact)風險和可能性(likelyhood)風險都名列前十名。

相較其他行業,金融業直接與資產相關,且含有眾多帳戶往來明細,尤其是有心人積極想要突破的重點。最常見的金融資安威脅可分為阻斷服務(DDoS)、勒索軟體(Ransomware)、標靶式攻擊(APT)、詐騙簡訊結合偽冒網站(Scam SMS and Fake Website)及商業電子郵件詐騙等五種。去年英國外匯交易商Travelex就曾遭到勒索軟體攻擊;至於KEB韓亞銀行等七家韓國銀行,則是受到阻斷服務攻擊,突顯金融業的資安風險已經迫在眉睫。

面對全天候考驗,金融機構該如何做好資安?首先,建立重視資安的組織文化十分重要,資安長應直接向董事會報告,還要為董事會及中高階人員設置資安情勢、風險管理等專業課程,以利董事會決策與管理團隊運作時,可更有效掌握情勢。資安長對內應檢視機構資安管理是否符合公會自律規範,對外則要廣泛參與預警體系,密切聯繫同業及主管機關、將資安訊息互通有無,才能防患於未然。

再者,定期演練、監控也很重要,資安長平時應設定透過公正第三方驗證作業程序,及導入國際營運持續管理標準,以確保營運持續管理量能;此外,還要模擬資安漏洞發生的情境,以找出管理盲點,並讓所有成員提高警覺,避免無意間造成漏洞。第三,若不幸爆發資安事件,民眾可能對金融服務產生重大疑慮,資安長應立即率領團隊緊急應變,爭取在最短時間內消除威脅,弭平風險,以強化金融體系的作業韌性。

「勿恃敵之不來,恃吾有以待之」,金融業的願景是提供客戶安全、便利的金融服務,但在資安高風險時代,先要確保系統營運能力與資料安全,才能不斷落實願景。國內金融業新設資安長,預料將進一步建立重視資安的組織文化,提高金融業資安治理能力,為強化資安邁進一大步。