隨著電子下單比重日益增加,資訊安全成為不可忽視的議題,證交所今年於牙買加舉辦的AMCC會議中,針對推廣證券期貨產業資安資訊、與分析中心協助證券業防護DDoS攻擊事件進行分享,並歸納出應由架構面、技術面及資安認知等3方面並重、強化資安。

證交所指出,在新興科技和金融科技帶動下,駭客攻擊手法推陳出新,資安事故的發生已經是難以避免。即使有完善的防護,如第一金銀行規劃的實體隔離架構,駭客仍可以耐心尋找蛛絲馬跡,藉由微小的瑕疵,突破層層防護機制。

另一方面,駭客也能隨意散播如WannaCry等惡意程式,靠著網際網路的散播,和使用者對系統安全性更新的疏忽,擴大惡意程式的感染規模。

因此,資安防護的重點,應當從「事前預防」,分散到「事中偵測」及「事後應變」的層面,並由架構面、技術面及資安認知等三方面著手。

其中架構面及技術面,可參考ISO 27001及IOSCO出版的「金融市場基礎設施資安韌性指引」,導入適當的管理程序及技術設備。但面對資安思維的改變,最重要的仍要有適當認知,必須了解事件的成因,將之轉換為強化資安防護的驅動力。

證交所表示,在現今新興科技及金融科技群繞的資訊背景下,面對層出不窮的資安事件,必須從事前預防、事中偵測及事後應變三方面同時檢視,才能正確評估資安威脅帶來的既有及潛在風險,並有效地強化資安防護機制的脆弱之處。

#資安