工商社论》金融机构不只要抗疫 更要防堵资安威胁

自新冠肺炎疫情肆虐全球以来，远距工作或居家上班（WFH）成为许多行业的新常态，却也给予网路骇客可乘之机。国际清算银行（BIS）的研究指出，以美国为例，去年3～6月各行各业在家上班多寡与网路攻击事件频率间存在正向关系，其中以科技产业为最，金融业位居第二。再就与新冠肺炎疫情相关的网路攻击事件来说，截止去年9月初，各行业中除了健康及相关的制造业外，以金融保险的件数最多，占比达25.3％，显见疫情令金融业乃至于整个金融体系承受极高的资安风险。

事实上，网路骇客攻击金融业不是新鲜事。近年来随着金融科技不断创新与行动装置的普及，金融业所提供的金融服务日益依赖应用程式介面（API）及与核心资讯系统桥接的科技，进而使大量敏感性个人资料与交易资讯暴露于不同存取管道，除了增加个人与业务机密资料外泄风险之外，也让金融体系的资讯系统易遭受骇客攻击。而且上至一国央行，下至个别银行、电信业经营的金融系统都难幸免。诸如2016年2月孟加拉央行于美国纽约联邦准备银行的帐户遭骇客入侵，窃走8100万美元；同年7月我国第一银行内网也被入侵，导致ATM遭盗领8327万余元；2017年10月我国远东银行用来连线环球银行间金融电讯网路（SWIFT）系统的电脑遭骇客植入恶意程式，操控SWIFT系统转帐并分批匯往不同海外银行，金额约达6000万美元；去年10月远在非洲乌干达的MTN与Airtel电信公司所使用的第三方支付系统也遭骇客入侵，损失不赀。

基此，国际监管机构金融稳定委员会（FSB）认为，由于金融资安事件难以完全避免，故金融行业不仅要做好事前防御工作，并须具备在事发当时的紧急应变，以及事后的灾害復原能力，才能增强网路韧性，降低网路攻击的营运损失。知名的卡内基国际和平基金会和世界经济论坛（WEF）更联手对国际相关组织、各国主管机关及金融机构提出四大建言：

第一，骇客入侵事件有其国际合作的必要性和急迫性。考虑到金融系统在全球已紧密相连，彼此亦相互依赖的现况，以及现今的骇客少是单打独斗，而是形成有规模、有计划地发动攻击的国际金融犯罪组织，且每次攻击受影响的对象已非局限于单一机构等情形，想要仅凭单一国家、金融机构和金融科技公司单打独斗，有效预防骇客攻击威胁的难度加大，使跨国合作有其必要性和急迫性。

第二，导入公司治理，明订内部各自权责，要求经营管理阶层重视，并成立具备独立资安职能的专责单位。除了跨国合作，各个政府主管机关、金融机构和金融科技公司内部也必须订出各自权责。例如欧洲银行监理机关（EBA）所发布的「资通讯科技及安全风险管理指引」，即要求金融机构要将资安职能与一般资讯作业流程相隔离，以确保其独立性与客观性，并监控资安政策与措施之落实情形，定期直接向董事会报告，依实际需要不定期提供有关资讯安全及金融机构风险之建议等。

第三，成立金融资安资讯分享与分析中心（FISAC），推动资安联防，提升资安防护能量。为了更好地保护金融机构因应骇客入侵等资安事件，各国案例分享与其所採取的行动方案，也甚为重要。例如美国金融服务资讯共用和分析中心（FS-ISAC）与英国资安分享中心（CiSP）即持续搜集分析国内外金融资安情资，提供金融机构资安预警及强化资安防护建议。我国金管会亦于2017年1月成立类似的金融产业资安分享平台，经此架构，可积极与其他国家资安机构交流合作、扩大情资来源等，有效提升金融体系的资安防护能力。

第四，金融机构一旦发生资安事件，除了即时向主管机关通报之外，亦可透过FISAC资安分享平台查察有否其他业者遭遇类似的攻击，并运用他行的相关案例与本身资安事故应变能力做好快速止血处理。至于对无前例可循且较为棘手的案件，则可透过外部专业资安服务团队协助，即时有效地处理骇客入侵事故，防堵入侵管道，并儘速復原资讯系统至正常状态。

要言之，由于国际间的网路连结既深且厚，新冠肺炎疫情又强化了金融服务的全面数位化深度，使金融服务提供者（包含传统金融机构与新兴金融科技业者）面对的网路攻击威胁与日俱增。因此，营造一个良好的金融与服务发展环境，让相关业者能在激烈竞争的市场环境下，持续安全地提供大眾各项新金融商品服务，实为金融服务提供者的一大挑战。未来除了政府、中央银行、监理单位、金融机构和其他相关资安团体应齐心面对网路攻击外，金融服务提供者亦应自行扩建资安单位与培训相关人才，以强化资安能力，才能提供优质、安全的金融服务，并藉此建构出自身在数位时代下的企业竞争力。