金融業向來被駭客鎖定的攻擊目標,過去幾年台灣也爆發多起金融資安事件。企業在規劃一套合宜的防護機制時,也得透過資訊長與資安長的攜手合作,分別負責第一、第二道防線,搭配員工的自主資安防護意識,才能杜絕潛在威脅。
文/林裕洋
擁有龐大資產的金融產業,向來被駭客鎖定的首要攻擊目標,台灣自然也不可能置身事外。過去幾年,台灣金融產業頻頻傳出各種資安事件,早在 2017 年台灣證券市場已爆發第一起大型駭客攻擊事件,而 2021 年 11 月底則先發生多家證券期貨業遭到撞庫攻擊,並在 2022 年面臨駭客發動的第二波攻擊。為強化台灣金融產義的營運韌性,金管會先是要求成立金融資安資訊分享與分析中心(Financial Information Sharing and Analysis Center,F-ISAC),讓金融業者可透過情資共享方式,減少駭客的攻擊範圍。
自 2021 年開始,金管會先是要求金融業的銀行、保險、證期業者等,必須設置資安專責單位,藉此提升整體資安意識與強化防護能量。2021 年金管會近一步透過修改「公開發行公司建立內部控制制度處理準則」,明訂上市櫃公司依照營運規模不同,必須需設置資安長、資安專責單位。其中,被列為第一級的公司,需在 2022 年完成資安長與資安專責單位的工作,第二級公司則須在 2023 年底前設置資安專責單位,營運規模較小的第三級公司,則鼓勵設置至少 1 名資安專責人員。
在 CIO Taiwan 舉辦的金融資安長線上論壇中,新光金控資安長章光祖說,近幾年 Fintech 科技發展非常快速,金融產業面臨 AI、Big data、社群、物聯網等技術興起的挑戰,也讓金融資安交易風險大幅提升。我們可看到勒索軟體、DDoS、新型態木馬程式紛紛問世,不光個別金融公司頻頻爆發資安事件,甚至維繫全球金融架構運作的 Swift 系統,亦接連傳出遭到入侵的事件。
金融資安行動方案啟動 助金融業強化資安
2020 年金管會推出為期四年的金融資安行動方案,期透過強化資安監理、深化資安治理、精實資安韌性及發揮資安聯防等四大策略,推動全面性金融資安政策,提升台灣金融產業的資安防護力,為消費者創造更健全的金融環境。只是此四大措施,卻也成為資安長、資訊長必須克服的極大挑戰,若不能在兼顧業務發展與資安風險下,維持企業營運流程的穩定運作,恐怕陷入無法符合法遵,以及被消費市場淘汰的困境之中。
章光祖指出,從大方向來看,資訊與資安其實系出同門,在金融產業推動數位轉型時,更必須仰賴資訊、資安人才協助,才能達到預定的目標。但在企業整體預算有限的狀況下,能否同時兼顧兩部門的發展,正考驗著管理單位、CIO、CISO 等智慧與能力。
第一金控資安長劉培文說,金融業推動資安措施的核心價值,是要在資安風險可控的狀況下,得以全速推動相關營運策略,而非而要達成零風險的目標。近幾年資安機制已從過去的有做即可,變成現在必須做好、符合法遵規範等。因此現今資安長扮演的角色,就如同拉力賽中的導航員,在精準掌握全球資安局勢外,也必須負責溝通協調的角色。
資訊長與資安長攜手合作 建立資安防線分工
面對傳播力強悍的 COVID-19 病毒,在仰賴疫苗、藥物、口罩之外,民眾也必須與中央流行疫情指揮中心攜手合作,才可能將疫情衝擊降到最低。面對無孔不入的惡意程式亦然,企業不可能僅靠單一設備進行防禦,目前主流趨勢是透過多項產品之間的相互搭配,有效阻斷任惡意程式入侵。此外,企業要規劃一套防護機制時,也得透過資訊長與資安長之間的合作,分別負起第一、第二道防線的工作,搭配員工的資安防護意識才能達成。
劉培文指出,資訊部門、業務部門等,是負責建立資安防護的第一道防線,兩個部門必須攜手合作,才在業務與公司營運部分等取得平衡。如在防火牆的規則部分,有哪些應用服務要開啟存取權限等等。至於資安部門則是負責的第二道防線,就是明確定義出企業風險的紅線,一旦會影響到公司商譽、法遵等問題,就沒有任何妥協的空間。
「第一線的資訊單位,主要是負責系統日常維運的工作,如安裝軟體修部程式、修復漏洞、帳號管理等等。而負責第二道防線的資安單位,則必須需從輔助的角色,協助找出現存資訊架構存在哪些風險,並提出相關解決之道。」台新金控資安長孫一仕解釋:「雖然從客觀角度來看,企業要做到百分百資安防護的難度很高,然兩個單位可攜手合作,討論出一套可行的短期方案,將營運風險降到最低。兩個單位並非要相互推卸、跟規避責任,而是要替公司建立一套更好的風險管理機制。」
推動資安成熟度評級 掌握資安防護力
鑑於近期台灣金融產業持續遭受國際駭客組織的攻擊,金管會正持續透過多元策略提升整體金融環境的安全,如在前述的 F-ISAC 之外,也鼓勵推動資安成熟度評級。所謂資安成熟度評級主要是透過管理能力、防禦能力、偵側能力、反應能力等進行評估,最後在依達成率分成五個等級層級。多數企業受限於技術能力有限,無法確定是否達成客戶對資安的需求,也往往不知從何著手。藉由參與資安成熟度評級機制,企業可藉此先了解自身的資安防護力、等級等,再依照不足之處,擬定後續強化與改善資安的作法,達到逐步強化整體企業資安做出更佳的決策。
孫一仕說,金融業引進資安成熟度評級機制,在與內部單位溝通時會有參考的依據。過往,資安機制是否完善往往流於主觀的評斷,如購買資安產品數量是否足夠,涵蓋範圍是否夠廣泛、有無發生資安事件等。相較之下,資安成熟度評級機制比較全面,我們可透過此項目了解自身的資安架構是否有改善之處,目前金控集團旗下子公司也引進此制度,作為後續資安防護機制的改善參考。
儘管愈來愈多銀行業者開始引進資安成熟度評級機制,有不少人想藉此為基礎,作為銀行資安防護程度的比較。不過,孫一仕、林佩靜等,均認為不同銀行的評估標準迥異,光從資安成熟度評級機制的分數來比較,並無法反應真實狀況。若真的要透過此制度比較與同業之間的差異,則必須要邀請中立第三方機構負責,建立一套通用的評估制度,才能貼近比較真實的狀況。
國泰人壽資安長林佩靜認為,從實務層面來看,推動資安成熟度評級機制,主要是作為改善資安防護機制的參考,而非跟其他銀行比較。若依照金管會的分級制度,根據非正式統計,台灣金融機構資安等級約都在 2~3 級左右,少部分業者可能有做到第 4 級。我們建議可透過引進此機制,作為跟董事會、總經理的溝通基礎,若董事會有意進一步資安機制,自然也得編列足夠資安預算,而非僅是口頭承諾等等。
四大資安管理職務 機密合作構築防護網
面對接連不斷爆發的資安事件,全球資安意識明顯提高,在資安等於國安的思維下,政府與民間單位都擴大在資安領域的投資,乃至於積極招募資安人才,也讓世界各國陷入資安人才不足的困境。根據研究報告指出,全球資安人才缺口高達數十萬以上,而台灣亦有高達 4 萬以上的缺口,特別是在金管會明訂上市櫃公司必須依照營運規模,設立資安長、資安團隊之後,人才缺口更為嚴重。
面對龐大人才缺口,除仰賴政府透過學校教育培育資安人力之外,企業亦也必須藉由自主培育,建立不同資安職務之間的相互搭配機制,以及與外部資安服務公司合作,才能建構縝密的資安管理機制,將資安風險降到最低。
林佩靜指出,企業必須明訂資安任務之後,再透過合宜的資安編組,才能實踐分工合作、落實資安管理與維運的工作。以金融業來說,資安任務可分成資安管理、資安維運等兩大類型,資安管理必須掌握各種資安威脅的風險、法遵問題等等,為公司建立一套合宜的自律規範、安全開發標準等等。在招募此類人才時,並不一定需要有 IT 背景,所以我們會依望從熟悉法規、稽核的人才著手,再透過自行培養方式,為公司儲備資安管理人才。
協助規劃職涯發展 有利招募人才
如同前述,台灣資安人才缺口高達 4 萬人,自然也不亦找到合適的資安維運人才。若依職務來區分,大致上可分成網路管理、弱點管理、網路防護、事件應變等,負責網路管理的資安團隊,必須具備了解系統網路安全能力,擁有一定程度的規劃能力,至於弱點管理部分,自然要了解找出資安弱點的方法,以及具備弱點修復的能力。這兩項工作與基礎架構維運相關,所以從 IT 團隊轉成資安團隊時,主要都是此兩類工作為主。
「負責網路防護工作的資安人,則必須擁有較高深的網路技術,必須要了解威脅趨勢、漏洞防護趨勢、駭客入侵趨勢等等,唯有如此才能有效提升企業整體資安防護能力。」林佩靜解釋:「最後一項人才則是負責事件的應變,畢竟市面上沒有百分百完美的資安防護架構,此團隊成員必須具備網路情資分析、惡意程式分析、鑑識能力,以便能從大量網路資料中找出潛在威脅。又或者當企業爆發資安事件時,能在第一時間採取最合適的後續處置方式。」
章光祖表示,面對日益嚴峻、複雜的攻擊手法,企業在尋找外部資安人才之外,也應該要建立一套資安人才培育制度,擴大資安團隊的能量。如此一來,才能在高層支持、足夠預算支撐下,持續改善整體資安防護架構,因應來自四面八方的威脅與攻擊。
供應鏈攻擊興起 妥善評估夥伴資安力
鑑於企業資安防護網愈來愈嚴密,駭客察覺到要直接突破難度增加,也不易透過釣魚郵件、社群攻擊等手法,誘騙警覺性較差的員工上當,於是近幾年興起供應鏈攻擊。這是一種鎖定軟體開發業者、供應商等攻擊手法,先入侵防護能力較薄弱的中小型供應商,再以此為跳板,運用合法管道對國際大廠發動攻擊。最明顯案例,莫過於知名晶圓代工業者新購的生產機台,早已被植入勒索軟體,最終導致整體產線被迫停機一天,損失高達數十億台幣。
另外,則是利用開發人員的資安意識不足,趁機在合法軟體中植入惡意程式,藉此達到滲透企業網路的的目的。最知名案例,莫過於知名軟體公司 SolarWinds 遭駭,該公司的 Orion Platform 被置入惡意程式,成為駭客發動供應鏈攻擊的跳板,受害企業、政府組織等高達數萬家以上。
孫一仕說,金融業的委外廠商可分成兩大類,第一種是核心金融系統的供應商,第二種則是大型軟體公司,如微軟、Oracle 等。隨著供應鏈攻擊興起,我們在評估委外合作夥伴時,已經從過去的功能評估思維,近來也會加入詢問資安問題,如開發過程中如何落實資安規範等。至於與大型軟體公司合作方面,則是透過建立合作緊密合作關係,以便能在第一時間獲得最新更新程式、漏洞修補等等。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
至於與中小型的合作開發案部分,台新金控則會在上線之前進行相關資安測試,如漏洞掃描、弱點檢測等等,並要求軟體公司進行修補,確認沒有資安疑慮才正式啟用。另外,孫一仕也建議強化公司的內部控制機制,以減少可能的資安風險。
劉培文指出,其實銀行業推動資訊委外作業多時,業者都早已建立一套完善的管理制度,會從合作業者的規模、管理水準等進行評估,藉此減少發生供應鏈攻擊的機率。近來隨著個資法上路,我們也建議與委外廠商合作時,要評估是否符合個資法規範,避免因發生資料外洩事件,而遭到主管機關的處罰。
隨著物聯網設備應用範圍日益廣泛,早已經深入企業之中,由於此類產品幾乎清一色採用開源軟體,且多半沒有考量資安問題,因此也衍生出眾多資安事件。因此,不少金融業者發現許多攻擊來源,是源自於 TSP 業者的連線,深入追查之後發現是 TSP 業者已遭到駭客入侵所致。劉培文提到金管會有成立 F-ISAC 之外,也有在推 F-SOC、F-CERT,透過更緊密的即時情資交換,達成防堵惡意攻擊事件散播的目標。
善用模擬測試 確保服務穩定度
在保障消費者權益下。金管會長期極力推動「重大應用系統上線前檢核」的策略,藉此提升台灣金融產業的服務品質。然而隨著行動時代來臨,金融業者紛紛引進敏捷式開發,以提升軟體服務更新速度與穩定性,可惜近期卻頻頻爆發系統異常事件,嚴重影響消費者的權益,導致遭受到金管會的懲處。根據金管會提供資訊,關鍵原因在於壓力測試未考量交易峰期外部環境之影響,亦未充分評估參數設定之合理性等,以及沒有將分行及客服中心等對外溝通單位,納入緊急應變計畫及教育訓練與演練。另一個常見原因,則是未確實執行內部控制制度,如未依照規定審查上線前準備工作與上線步驟是否完備等。
劉培文指出,金融業的服務品質優劣,不光取決於應用服務系統本身,也與整個基礎網路架構、安全等息息相關。金融產業要提升服務品質沒有萬靈丹,必須透過全面能力、跨領域的提升,才可能達到改善服務品質的目標,因此重大應用系統上線前檢核確實有其必要性。在專案過程中,我們也建議能邀請資安部門協助評估資安問題,確認應用程式是否存在相關資安漏洞品質的問題,亦能協同開發部門進行原始碼掃描,避免誤用被惡意程式感染的開發套件等,都是提升整體品質的好方法。
「要提升金融業本身的服務品質,絕對沒有捷徑,就是必須盡可能進行測試與,模擬任何可能出問題的狀況。」林佩靜解釋:「所以我們也建議各產業,絕對要進行重大應用系統上線前檢核的工作,唯有如此才可能找出任何潛在風險。」
隨著全球進入後疫情時代,零接觸經濟已成為日常,產業競爭也必過去激烈,帶動金融業加速推動數位轉型的風潮,金融產業應該從資安、品質測試等多元管道著手,才能提升企業整體競爭力與資安防護力。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
