從去年7月25日,第一銀行發生台灣金融史上第一次ATM被駭事件以來,今年又陸續發生券商被駭客以分散式攻擊阻擾交易系統案例,以及最新的遠東銀行遭國外駭客盜領事件。顯示國內金融體系業者,不分公、民營,在資安防護上形同不設防,讓國際駭客組織可以予取予求。

面對這種「新常態」,行政院金管會主委顧立雄18日到立法院財政委員會報告備詢時,高調表示金管會除了會在明年1月底前,完成38家國銀的專案金檢,以確認匯款系統的安全之外,今後也將把資安維護拉高到與防制洗錢同樣的強度。顧主委還預警若有銀行沒能落實,則將會與監理結合,讓這些銀行「付出代價」,讓他們會感到「痛」。

顧主委這番斬釘截鐵的宣示,一方面是責成金融業者針對方興未艾而又層出不窮的資安被駭事件不能掉以輕心,必須強化、確保金融交易的安全;另方面,自然也有對全民喊話,以安定人心的作用。

但堪稱諷刺的是,顧主委一方面高調責成金融業者必須強化資訊安全,甚至不惜動用公權力,祭出各種讓業者會感到「痛」的行政懲處。可是另方面,行事風格口快心直的顧主委,在談到金管會未來要如何稽核業者的資安維護是否到位,甚至如何強化資安法規,以及做出恰如其分的行政懲處時,卻不打自招的坦言,金管會的「痛」就是目前急缺金融科技檢視人才及資安人才。

相較於金融業者如不確實做好資安工作,未來可能會感受到的「痛」,金管會當前所面臨相關專業人才兩缺的「痛」,毋寧是更值得正視的課題。此不只關涉到如何督導與協助金融業者,可以擺脫可能隨時被駭的不確定感及心理陰影;拉高層次來看,它其實更是對於公權力能否及如何有效行使的考驗與挑戰。

檢視金管會何以會陷入金融科技檢視人員及資安人員兩缺的「窘境」,顧主委指出,政府部門用人,除了必須經過考試取得公務人員任用資格,以及符合預算編制員額等規範之外;另外僵化的薪資制度,也不利於延攬具有實務操作經驗的相關專業人才。

對於顧主委的這番感觸,也許有人會認為這只是缺少公職歷練經驗者的「少見多怪」之辭。文官體系的建置,本來就應有任用資格的限制,以免主管肆無忌憚的任用私人。同時設定各機關的預算員額編制,也是確保公部門的經費預算不致漫無節制,惡化國家財政負荷。至於薪資待遇,更是需要建立一套依年資、職等、考績核給的制度。

然而這套行之有年,依法任用、依法敘薪的人事制度,遇到今天外界快速變化的情境,就會曝露出種種僵化的窘境,進而對於公權力的行使,造成不同程度的困擾。

譬如編制預算員額不足的問題,不只是金管會感慨其資訊人員早已「補滿」,但仍不足以支應因資安問題惡化所需要的人力。另外在警政體系,例如新北市警察局,其法定的編制員額為1萬1,068人,但預算員額卻只給了7,897人,而目前的實際員額則只有7,421人;也就是該局只能以67%的現有人力,卻要執行100%的法定勤務。而新北市警察局人力不足的情況,當然不是特例,而是整個警政體系的普遍現象。但人力一方面不足,勤務卻是不斷的增加,在備多力分的情況下,政府治理的效能又何以維繫。

同樣的情形,目前的公務人員進用制度,僵化的任用資格與薪資待遇,提供品質保障的同時,卻也阻卻真正人才的進用與吸引力。

面對這樣的窘境,人事制度的鬆綁與彈性化自然是最直接了當的對策,但因牽一髮動全身,恐難收立竿見影之效。我們建議政府當局似應考量一方面擴大建置委外機制,譬如在資安課題上建立各金融機構的資安聯防體系,並採委外運作模式,以強化防駭能力及提升相關資訊技術。另方面針對編制人力不足的課題,則應進一步強化資通訊的運用能量,甚至包括引進AI,將某些例常性的工作職缺,改由機器人來處理,以免因新業務的增加,導致政府人力的不斷增加;或是因編制人力不足,而讓新的業務或新的挑戰陷入無人經管、服務的「準無政府狀態」的窘境。

#金管會 #資安