CIO Insight 調查解析(5)
調查顯示,金融業積極導入零信任架構,這與政策推動和金融上雲趨勢有關。在擁抱數位轉型的同時,金融業更應重視資安防護,並將零信任架構和 FinOps 納入發展策略,才能有效應對日益嚴峻的資安挑戰。
調查/CIO Taiwan‧解析/資策會數轉院金融科技中心
疫情時代可說是推進產業進行數位轉型的加速器,企業組織不僅提高對資通訊與新興科技的投資、導入雲端以及朝向雲端原生進行開發,甚至改變過往的實體營運,轉為線上/居家的遠距辦公模式。
縱使企業邁向數位轉型之路以達到組織創新目標,但在轉型之餘若沒有將資安列入重點項目,將有可能為組織帶來營運風險及隱憂。因為在這波浪潮下,駭客的攻擊手法同樣與時俱進,以更精細的手法包裝惡意程式進行漏洞攻擊與詐騙。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
這也使得國內企業近年來頻繁發生資安事件,在金融業部分,近年金融機構接連發生 SWIFT 系統被駭入、ATM 被植入惡意程式控制取鈔等資安事件。因此金管會於 2017 年成立金融資安資訊分享與分中心(FISAC),提供資安情資預警及聯防機制,協助金融業從事前、事中與事後進行全方位的資安治理。
金融業為駭客首選目標 更需最新資安框架
而為防止金融系統因資安事件中斷,持續提供更安全便利的金融服務,金管會於 2020 年發布的《金融資安行動方案》至今來到 2.0。其中疫情所興起遠距辦公,使員工可透過私有的連網設備或行動裝置進入組織內部網路,儘管執行多因子驗證(MFA)以確認外部裝置是否為內部員工,但若從資安角度來看依舊防不勝防。
且基於私有裝置非屬公司所有,員工個人習慣恐引發潛在風險,造成組織在資安邊界上走向模糊化。因此金管會在方案 2.0 中以產業整體性進行規劃,及防堵遠距辦公所衍生的潛在資安,提倡金融機構導入零信任網路,顯現我國主管機關對資安防範的超前部署。
[熱門精選:ESG 範疇三挑戰將接踵而來 ]
這也驅動零信任(Zero Trust)的概念逐漸受到重視,零信任是以「永不信任;始終驗證」為核心目標,指不預設安全身份或裝置,強調任何環節皆須進行身份驗證。因金融業掌握客戶的機敏資料與其大量資金,較容易成為駭客攻擊的目標,若導入零信任可藉此防範其資安風險。
金融業須強化資安並治理雲端
而根據「CIO insight 調查」,金融業對於導入零信任是本次調查產業中前二積極,僅 1 成 5 目前暫不導入零信任,有意願導入零信任架構則佔半成。此調查不僅反映出金融業呼應政策進行導入,也有部分可能為接下來金融上雲趨勢所故。
在金管會放寬委外上雲規範後,金融業若要上雲的首要考量即是對於資安與雲成本的管控。首先在資安管控方面,雲端委外後代表著金融機構雲端業務將不在內部網域運作,因此既有資安架構不適用雲端環境。另外,系統搬遷的過程也是一大挑戰,地端的加密資料在傳輸過程與上雲後如何妥善保管,皆是組織須重新擬定資安框架的考量,才能建構符合雲端的資安治理。
[完整報告請至官網下載: 2024 CIO Insight 調查報告 ]
此外,組織將因應內部作業流程選擇合宜的雲端環境,從私有、混合及多雲環境來進行雲端部署。從產業端檢視,也可發現我國金融業偏好採用混合或多雲形式。如「國泰金控」以多雲混合雲為核心,陸續搬遷集團 50 多套系統上雲;「中信金控」則強調採用混合雲策略,並先聚焦於私有雲。不論產業端採用何種雲端策略,可預期的是金融機構對雲端的支出將大幅增加,混合與多雲之下恐讓組織更不易管理雲端成本與支出。因此在部署雲端策略時,金融機構應具備 FinOps 的思維,透過 FinOps 得以跨部門團隊型式,不僅僅是針對雲相關費用進行追蹤與管控,同時也為組織在使用雲端時達到可見與治理,才能使組織有效使用雲端。
由此一來,金融機構在面對因外部環境所流行的居家/遠距辦公,以及政策推動的委外上雲趨勢,不妨將零信任的資安架構與 FinOps 納入接下來的發展策略,透過零信任及 FinOps 手段達到對雲端的用與管甚至整體的治理。
(本文授權非營利轉載,請註明出處:CIO Taiwan)