受到疫情的影響,金融業開始實行遠距辦公,另外為了提供客戶更好的客戶體驗,在近兩年積極加快發展數位金融的腳步,這些數位轉型的措施也讓金控內部資料有機會和外界接觸。金融業背後龐大的金流也成為駭客眼裡的肥羊,金管會推動金融資安行動方案八大重點,希望在該準則下幫助金融業提供更安全的服務。
為何資安對金融業如此重要?金融資安行動方案八大重點究竟是什麼呢?又有哪些重點是近期討論度相當高的議題呢?而金融業對資安議題的看法又是什麼呢?今天就讓馬克帶大家一同了解吧!
資安對金融業的重要性
近幾年快速發展的金融科技(FinTech)利用科技手段打破舊有金融服務模式,使金融業變得更開放、客製化、且智慧,應用場景快速融入消費者生活及企業客戶營運中。面臨 AI、Big data、社群、物聯網等技術興起的挑戰,相繼而來的風險也無法避免,DDoS、新型態木馬程式等資安攻擊手段紛紛問世,企業要不斷模擬事前預防、事中印證、事後回復,事件發生時才能迅速因應。
各式各樣新型態的金融服務蓬勃發展,例如:雲端服務和應用程式介面(API)經濟,近期有些金融業者用大量API,優化客戶數位體驗,進而成為新獲利來源。然而同時就要有相對應的API 管理規範,包括API 安全監控、身分認證識別、異常行為監控、資料存取監控、資料流向監控等。另外,在發展開放銀行(Open Banking)上,去識別化也很重要,落地資料去識別化機制要有一些標準,例如ISO 29192 等規定,透過限定分群大小,把一定能夠識別的先剔除。金融業在敏捷開發與資訊安全能否兼顧,資安是非常重要的關鍵。
金融資安行動方案八大重點
金管會在2022年09月的台灣資安大會上揭示金融資安行動方案八大重點,並分享這八大重點過去一段時間的成效及一一介紹未來的改善重點,透過這八大重點給予金融機構檢討資安策略、管理制度及防護技術等遵循的指引。
(ㄧ)結合監理工具提供激勵誘因:金融業本身就是受到高度監管的產業,金管會希望透過監理的力量鼓勵金融業投入資安行動,例如:資訊安全執行較好的金融機構,適用較低費率的存款保險及保險安定基金。
(二)型塑金融機構重視資安的組織文化:透過改善公司的組織架構,強化公司對資安的重視。截至2022年06月,已有40 家銀行、11 家保險公司、22 家券商設置副總層級的資安長。另外,今年開始要求除了金融機構以外的其他上市櫃公司需依內控準則開始設置資安長、資安專責單位及資安人員。
(三)強化新興科技的資安防護:金融機構運用新興科技發展創新業務,亦須預先考量相關資安風險因子。除了要陸續增修訂新興金融科技資安自律規範,包括App、雲端服務、開放銀行、網路身分驗證,供應鏈風險評估,也持續關注攻擊樣態與事件,包括Deepfake、IoT 安全等,將考量納入資安資訊規範。
(四)系統化培育金融資安專業人才:金管會訂定人才培訓地圖並開設資安人才養成專班,透過產學合作、跨業合作,培育跨領域人才,並鼓勵資安人員取得國際資安證照。
(五)以戰代訓-強化資安演練廣度與深度:透過模擬演練,強化金融機構資安人員處 理資安事件之應變能力。例如:近幾年舉行了跨國攻防演練(模擬金融)、金融DDoS 演練及金融BAS 演練等等。
(六)金融資安聯防:可以分成防患未然的F-ISAC 事前預防、防微杜漸的F-SOC 事中監控及降低傷害的F-CERT 事後復原。
(七)建構資源共享的資安應變機制:因應資安事件應變處理具高度時效要求,單一機構資源有其限制,建立資源共享的資安應變機制。例如:金控集團應變小組、周邊單位及公會支援小組、F-ISAC/F-CERT 應變體系。
(八)落實災害應變復原運作機制 :沒有100% 的資訊安全,透過平時的壓力測試及實際業務運作驗證,確保在災害發生後得以保全關鍵資料。
金融資安聯防體系
金融資安聯防體系可以分成防患未然的F-ISAC 事前預防、防微杜漸的F-SOC 事中監控及降低傷害的F-CERT 事後復原共三個部分。透過即時的情資交換,降低惡意攻擊事件發生的機率,以提升金融產業整體資安治理能力,強化金融資安聯防體系,穩定金融市場秩序。
(一)F-ISAC 金融資訊分享與分析中心:F-ISAC 彙整分析全球資安事件情資,發布駭客威脅預警,並培育資安專業人員,讓金融業者得以事先防範。
(二)F-SOC 金融資安聯防監控中心:F-SOC 關聯分析金融業者回傳之事件資訊,探究潛在之可疑行為與攻擊風險,結合情資分享平台強化聯防監控體系。金融業者可藉由F-SOC 提供之95項監控規則進行資安防護盤點,確認可辨識資安威脅。 F-SOC 藉由金融業回傳之事件情資,比對、分析可疑攻擊來源,了解金融業目前所面臨之威脅狀態。
(三)F-CERT 二線金融電腦緊急應變小組:F-CERT 協同資安廠商提供應變處理服務,協助金融業者進行損害控制,期許能降低損害,儘早恢復金融服務。
金管會持續以強化資安聯防及提升資安服務為目標,在資安聯防的部分,研擬標準交換格式及內容,有助於與F-SOC 情資進行介接。另外,將循序漸進邀請主要金融機構參與F-SOC 運作,提升聯防的效益。
推動重點:零信任架構
「邊界安全防禦著眼在建立高聳城牆區隔可信任與不可信任,零信任架構則是徹底接受威脅與風險無處不在的現實,與其加高城牆保護柔弱的人民,更需要將人民武裝起來。」
原先的網路邊界是網路安全的第一道防線,因此常會透過防毒軟體等措施來保護邊界安全,但是隨著網路攻擊的手法日新月異,這些邊界的防護措施難以防堵全部的威脅與風險。傳統的邊界防護僅靠一道防線把關所有想要存取公司資料的使用者,使用者只要通過認證,就能存取各式各樣的企業資訊。這樣的作法也讓駭客有機可乘,一旦駭客進入了企業,他們就能在內部網路四處遊走,順便安裝各種惡意程式和勒索病毒。
零信任架構在「從不信任,始終驗證( Never Trust, Always Verify )」的核心概念下,假定網路上任意IP 位置都有可能是攻擊發起點,故僅以IP 位置作為信任來源是不夠的。零信任需要使用者證明他們應該得到進入權限,而不是信任某些設備或是來自某些地方的連線。這代表除了使用者名稱和密碼以外,還得需要生物識別、硬體安全金鑰,才能登入公司帳戶,讓攻擊者更難冒充使用者。最後透過針對使用者、應用程式及設備認證與檢查的情形計算出信任分數,進而決定對於系統與資料的存取權限(可能非僅決定可以存取與不可存取)。
在金融機構快速數位轉型下,過去金融機構封閉的資料存取模式有了很大的改變。2021年11月,國內證券業首見駭客「撞庫」攻擊事件,也顯現出用戶認證的資安問題,動態身分驗證與授權、落實多因子驗證(MFA)、強化憑證認證能降低駭客試圖登入帳號的情形發生,讓使用者安全存取資源。破壞式科技的蓬勃發展,利用API、跨平台資料串流等技術讓使用者有更好的體驗,但資安風險也隨之而來。根據趨勢科技2021年報告,勒索軟體竊取或外洩資料仍是最多數的攻擊手法,其中銀行業遭勒索攻擊數量更比同期暴增 1318%。為保護企業貴重的資料,利用零信任架構中加密、資料權限管理(DRM)、資料外洩防護(DLP)措施,使雲端或是地端的資料受到妥善保護。
推動重點:多元金融身分驗證框架及標準-國際標準ISO 29115
身分驗證在金融業運用廣泛,只是過去沒有統一的驗證標準,隨著現今在不同業務有很多運用方式與變形,金管會正在與銀行公會討論建立多元金融身分驗證框架級標準。他們希望不只是金融業,其他產業也能用得上,並且以國際標準ISO 29115的數位身分驗證等級為參照。
金融業資安防禦新思維
疫情時代促使金融業積極邁向數位轉型,接踵而來的資安議題也成為數位轉型過程的焦點。在網路攻擊無所不在的情況下,金融業面臨的資安問題接踵而來,例如:遠距工作連線,增加未授權存取及外部入侵等風險 ; 委外廠商可能成為入侵企業的跳板,引發供應鏈的安全疑慮 ; 另外現行地端防護機制已經無法滿足雲端管控,雲端安全也成為金融業的焦點之一。
以國泰金控為例,國泰金控致力於在企業防護及競爭力間取得良好的平衡並以協助業務推動為主,思考資安要如何設計。在企業防護的部分,建立資安監控及攻擊情資搜集機制( ISAC )、強化資安監控中心(SOC)及建立資安事件之應變及演練機制(CERT)來保障客戶的資訊安全,透過金控資安特別支援組的日常演練加上遵循國際上資安防禦機制ISO27001 ,來達成企業防護的目的。在競爭力方面,國泰金控開發各種新型態的數位化服務,包括理賠聯盟鏈、電動車車聯網區塊鏈金融平台、Fintech 新創整合,並嚴訂相關的文件加密、控管的措施,以期達到能攻能守的目標。
馬克碎念
早期金融業使用相對封閉的系統來隔絕外界的攻擊,而最大漏洞主要來自於人的問題,因此對於人員的控管與內部資料的傳遞有著嚴格的控管標準。短短的幾年內數位金融服務的興起,過去建構密不可攻的城牆已經是不切實際的選擇,因此對於金融機構、監管機關與一般民眾來說都有相對應需要調整應對的地方。
不過這民眾也無需要過度恐慌或是開始不信任金融機構的保護能力,數位轉型帶給我們更便捷與快速的服務,同時也能比過去能做更完善的事前預防、監控與事後處理。馬克認為一般民眾也可以主動理解資安相關的議題,了解各種基礎建設能帶來的保護與相關的機制,避免駭客從用戶端進行攻擊。
資安在這兩年全球產業鏈中扮演越來越重要的角色,不只是金融業,許多進行數位轉型的製造、零售、房地產等等的產業都面臨到相關問題,可以預測的是相關人才的需要也會大幅攀升,如果是對資安產業有興趣的朋友可以多多進行關注。
有關近期政府戶政或健保局民眾個資大量洩露新聞,不曉得版主對金融業者未來可能面對的威脅或者挑戰有提醒或需加強之處?