資安業者表示,台灣金融業資安面臨地緣政治及第三方合作商兩大威脅挑戰。(記者靳昌玲攝)
記者徐子苓/專題報導
政府高喊「資安即國安」,金管會更大力推動「金融資安行動方案」,至今成效如何?資安業者肯定我國金融業的資安防護,不過,也點名金融業資安面臨2大威脅挑戰。
資安大廠趨勢科技台灣區暨香港區總經理洪偉淦指出,金融業受到金管會嚴格的稽核和監督,資安防護幾乎是所有行業裡最好的。其中,銀行在經歷資安事件後,演變出多層次的控管機制:第一是資訊部門衡量風險度,完善權限控管和系統架構;第二是銀行早有資安部門,訂定相關資安政策;第三是內部和外部稽核制度,確保資安政策落實。
金融業資安防護 所有產業最強
一位資安業主管表示,在全球提倡開放金融、多元服務下,金融業已不如過去的封閉系統,洪偉淦表示,現今金融體系不只有金融業本身,也包含夥伴和供應商,例如應用程式(App)開發、第三方資料串接,App本身若有漏洞風險,將形成新的入侵管道。
洪偉淦觀察,資安漏洞許多是來自第三方串接系統。以證券交易系統為例,系統必須串接第三方服務商資料,而服務商通常不在金管會管轄範疇,對資安的稽核程度相較沒那麼完善,一旦產生破口,駭客可能入侵到金融業竊取資料,造成鉅額損失。
資安與駭客 是無法停止的軍備競賽
今年以來金融業尚無發生重大資安事件,不過洪偉淦直言,「資安是與駭客進行無法停止的軍備競賽」,沒有攻擊不代表沒有漏洞,絕不能輕忽。
地緣政治緊張 金融業慎防駭客攻擊
他呼籲,金融業應注意兩大風險。第一是全球地緣政治日益緊張,而金融單位是「關鍵基礎設施」,成為資訊戰首當其衝的攻擊對象。洪偉淦指出,組織型駭客也就是國家級網路軍隊,正不斷對金融業探勘,尋找破口和漏洞,他們不一定馬上出手,而是待時機成熟再發動毀滅性攻擊。
第二是金融業走向開放,第三方合作商也可能出現資安漏洞,因此金融業防守範圍應擴大到合作夥伴。他也建議政府,未來應擴大控管範疇,不只有金融單位要資安防護,和金融有所關聯的科技公司也應納入監管。
洪偉淦呼籲,如同製造業重視供應鏈,金融業也應思考「供應鏈安全」, 金融業的特性是法規導向,法規若沒規範則缺乏基礎推動政策,未來資安長和主管機關都應思索,如何賦予權責擴大防守範圍。