四大資安威脅,隨時可能癱瘓金融體系,金管會6日公布「金融資安行動方案」,將要求所有金融機構在四年內要完備資安防護體系,一旦遭駭客或病毒入侵,最大可容忍的服務中斷時間不可逾4小時,且要視金融機構特性、服務性質縮短營運中斷時間。

金管會提出的四大資安威脅,一是國際頻傳遭駭事件,金融機構是眾所矚目的標的。如SWIFT系統遭盜轉、ATM遭盜領、藉DDoS攻擊勒索等事件,都可能造成金融服務中斷;二資安管理仍待強化,供應鏈成為攻擊跳板。包括資料傳輸安全性、人員資安意識、委外廠商或供應商資安理等風險,尤其是駭客會藉由先攻擊委外廠商或供應商,再攻入金融機構。

三具針對性攻擊潛伏期長、影響大,防禦難度倍增。很多潛伏期長達半年到一年半,極難偵測與防範,金融資安事件已無法完全避免,考驗的不僅是事前防禦,,還有事中的緊急應變及事後的災害復原能力。

四是國家級金融犯罪組織持續活動,防禦方相對勢單力薄。駭客已從過去單打獨鬥,轉型為有組織、專業化及國際化發展,難以完全防範,造成金融機構資安風險大幅增加,特別是如北韓有專業的駭客組織,專門針對金融機構攻擊。

金管會訂出的資安行動方案,將從今年啟動,每半年檢視一次,分四大面向共36項資安措施,其中,將要求資產逾1兆元的銀行、保險公司,實收資本額200億元的證券公司及三家純網銀,在2021年底要設立專責資安單位及副總級以上資安長。

另外,也要研議是否統一設置資料保全中心,即比照美國的資訊避風港計畫,將民眾的重要關鍵金融資料,保存在高度防火、防水、防震及離線的「金庫」內。

金管會副主委兼資安長邱淑貞表示,在持續開放金融業務、提升金融競爭力之外,金管會關心金融經營形態改變的風險,2020年世界經濟論壇揭露未來十年的二大風險,一是環境變遷與地球暖化,第二就是資安風險,其中還分三部分風險,一是網路攻擊,二是關鍵基礎設施被破壞,三是個資被竊或洩露,所以金管會訂定資安行動方案,提醒金融機構要不斷增加因應作為,才能繼續推動金融科技與創新的運用。

(工商 )

#統一 #系統 #資安 #金融機構 #金管會