疫情不只帶來考驗,也加速了金融創新與變革,零接觸金融進一步走向高峰,「今年底可望達到6兆臺幣!」金管會資訊服務處處長蔡福隆說。這是金管會2021年制定的非現金支付交易金額目標,原本計畫3年達成每年6兆元交易額,在疫情衝擊下,信用卡、ATM、電子支付和儲值卡等付款方式成為首選,有望提早在今年達標。

不只零接觸金融,整體金融數位轉型也受到疫情推波助瀾,比如業者們更重視異業結盟,將金融服務帶入客源更廣的生態圈、嵌入民眾生活,而靠IT支援全通路經營的模式更成為主流,這種整合線上線下服務,放在金融場景,等於將實體分行與線上客戶業務需求,收件後統一由一個作業管理中心處理,前臺專注快速回應客戶需求即可。

為因應這些多元的數位金融需求,不少金融機構展開核心系統大改造,不論是小核心、大周邊的架構,還是敏前臺、強中臺、穩後臺,又或是借助AI自動化分擔分析工作,都是IT支援轉型創新的手段。

這種IT力,在疫情中尤為重要。「金融是資訊高度密集的產業,金流就是資訊流,」蔡福隆指出:「疫情中沒有好的IT,就無法支援業務。」

但IT發展創新,也得顧及風險,尤其在數位世界中,資安更是一大風險。他點明,金融資安重點,不外乎固本與新興科技把關,固本是指落實基本功,如流量監控、嚴守第一道防線,事件發生時能迅速因應等。新興科技把關,則是要因應金融科技發展的新技術風險,諸如eKYC、身份驗證、行動應用、雲端和供應鏈等風險。

這正是金管會近幾年制定許多資安要求的原因,要將資安這個煞車配套措施做好,金融機構才能放心加速前進。

要求設置專責單位和副總層級資安長,先強化全機構資安文化

其中,設置資安專責單位和副總階級的資安長,就是金管會祭出的重大資安要求之一。金管會在2020年發布的金融資安行動方案中就規畫,先要求30多家金融機構與純網銀設置資安長。

設置專責單位和資安長這類強制性監理要求,以及近年來一系列資安規範,就像是宣告金融業者,不得不挪出資源多做一些事。金管會這些高度監管措施背後,其實隱含一個更重要的戰略。

這個戰略,就是要推動企業全體重視資安文化,由上而下培養資安意識。蔡福隆指出,設置專責資安單位,「就像是品管一樣,」是機構資安的第二道防線,來把關各第一線部門的資安措施是否合規。再搭配副總層級的資安長,機構就能從更高、更全面的角度,來調度資源、協調不同部門落實資安規範,帶動全機構重視資安議題。「資安不單只是資安單位的任務,也不只是IT單位的工作,」蔡福隆表示,而是全組織動起來才能發揮最大效益。

他也指出,設置副總層級資安長的要求,在今年3月正式達標。金控、銀行業者已全數設置了副總層級資安長,營收兆元以上的保險業者也已落實,證券則是分級進行。金管會也將這個成功經驗,進一步推廣到上市櫃公司,在去年宣布,鼓勵上市櫃公司分三級設置專責單位與資安長。

金管會要求組織重視資安的力道,不只如此。去年11月,他們推出新政策,要求上市櫃公司(包含金融業者)在後年年報中,開始揭露資安架構、資安政策、投入資源,以及因應資安事件的作法等訊息,作為營運公開資訊之一。

這是要求組織重視資安的另一個作法,同時也讓金管會,有能力掌握金融業者資安現況。目前,已有幾家金融業者和上市櫃公司,早一步在今年公開的年報中,自行先揭露了資安策略。

不只適用單一組織,由上而下也能推動跨組織聯防

金管會近年資安推動策略,不少是由上而下來推動資安的策略。蔡福隆去年底有次演講時也直言,金融聯防機制的設計,也採取了由上而下,以資源共享的理念來規劃。比如,不只在銀行、證券等金融機構,各自設置了應變小組,更上一層的金控,也得設置專屬資安應變小組(CERT),當旗下機構發生資安事件時,金控可以有能力共享資源、支援旗下資安能力較弱的機構。

這種上下支援和聯防的模式,也延伸到跨產業組織,例如銀行公會、證交所各自設置應變小組,當金控難以支援體系下機構時,就能求助公會或證交所應變小組。再更上一層,當跨產業資安事件發生時,層次更高的金管會F-ISAC和F-CERT,就能提供資源、協助不同產業業者解決問題。這正是由上而下,一層層建立應變能力的策略。

金管會所勾勒的資安聯防體系中,除了負責事發後應變的各級資安應變組織之外,還包括了聚焦事前預防的金融資安資訊分享與分析中心(F-ISAC)、事中監控的金融資安監控中心(F-SOC)。這些官方聯防機制,從無到有至今也3、4年了,蔡福隆正是關鍵推手。

他回顧,金融資安聯防在這幾年進步許多,早期,金融業者單打獨鬥,獨自攬起所有資安工作。但2017年,金管會成立F-ISAC,提供情資分享、應變協處、監控防護、演練以及教育訓練等服務,聯防概念開始興起,業者們也開始明白,資安也能集眾人之力來強化。

比如,2年多前,數家證券期貨業者遭受分散式阻斷服務(DDoS)攻擊,F-ISAC與證交所聯手,扮演情資蒐集、分析角色,並將攻擊流量等分析結果回報給證交所、F-CERT,進行後續處理。F-ISAC也肩負協調角色,協助券商與電信業者、政府其他機關溝通。「那次合作讓人安心,」蔡福隆表示,當時攻擊流量雖然時而增加,但聯防機制讓業者感到放心,他們知道遭遇資安事件不再是單打獨鬥,而是透過F-ISAC聯防機制協調,串聯其他機構一起對抗攻擊。

參考行政院GCB設計金融專屬組態基準

聯防機制不只在攻擊發生時發揮作用,平時還有不少未雨綢繆的預防措施,像是分享其他產業的資安事件情資、定期攻防演練,以及供業者交流經驗的教育訓練課程等。

甚至,金融資安監控中心(F-SOC)還參考行政院政府國家資通安全會報技術服務中心制定的政府組態基準(GCB),發展出一套金融業專屬的電腦系統組態基準(FCB),也就是一系列IT系統安全設定,來給金融機構參考。其中,Windows版的FCB已於去年底釋出,Linux版本也隨之公布,近期仍在優化中。

除了FCB,F-SOC也時時提供監控組態基準,來給金融業者參考。這類監控組態基準,是針對常見的駭客入侵手法而設置,比如防火牆設定,來強化金融業防禦能力。

這種先想一步、設置對應標準的車同軌作法,也是金管會資安聯防的另一成果。對這套聯防體系,「我只有2個期許,」蔡福隆繼續說:「一是做好服務,讓人感到貼心,再來是,F-ISAC成立後,不要再發生重大資安事件。」

金管會資訊服務處處長蔡福隆表示,資安文化要由上而下推廣,由專責單位搭配副總層級資安長,來強化第二道防線,並由資安長調度資源、協調部門合作。

持續加強資安韌性,年底將推出供應鏈風險管理相關規範

不過,金融資安不可能完美,總有需要改進之處。蔡福隆點出,資安韌性尤為重要,總會有新的挑戰,比如因應停電、國際情勢變動(如俄烏戰爭)等災害應變,或是從駭客攻擊、勒索病毒等快速復原。

為確保金融機構有足夠的復原力,金管會本來就要求金融機構進行本地備援和異地備援,在本地資料中心執行核心業務、在異地中心執行次要業務,以便遭遇災害時,能彈性切換。

但這樣還不夠,金管會希望進一步確保復原能力。蔡福隆點出,金融資安行動方案,也鼓勵金融機構,定期將核心業務改由備援中心執行,一段時間再切回原中心,如此發生問題時,業者才敢快速切換。

他也透露,目前已有不少業者採行這種作法。金管會每半年,也會針對證券市場舉行一次會測,要求證券所和券商,將重點業務切換至備援中心執行,一段時間後再切換回來。「只要交易所出問題,業者有把握在40分鐘內切換完成,」他說。

除了資安韌性,金管會也聚焦供應鏈資安風險,參考美國軟體供應鏈安全的做法,其中一項就是,美國開始在政府採購中要求軟體業者提供軟體材料清單(SBOM)。進一步來說,SBOM是一份軟體元件組成表,就像是食品營養成分標示一樣,來讓企業了解軟體組成、內部模組和所有相關的元件,進而可以用來降低軟體供應鏈的風險。參考國外經驗,金管會預計在今年年底前,於金融資安行動方案中,揭露供應鏈相關資安管理規範。

從金融科技到金融資安統籌者,成敗關鍵是超前部署

2015年至今,蔡福隆陸續擔任了金融科技辦公室執行秘書,以及金融資安政策的核心推手,他平時就養成觀察、思考問題的習慣,提前規劃各種新點子,口袋中總有好幾個可隨時端出、侃侃而談的新計畫。他深信「超前部署是成敗關鍵,」不少他參與的資安規範,就是為了因應金融轉型採用新興科技的風險把關。

不只超前部署,蔡福隆對工作還有另一個堅持:不管做什麼,都要以成為其他產業可參考的最佳示範為目標,他也常告訴同仁:「不只是達標,還要能讓人來借鏡、學習。」

例如金管會推動由上而下的資安聯防機制,就是以最佳示範為目標來實作,後來也果真成了醫界參考的聯防作法。從超前部署思維,到成為最佳示範的堅持,都是金管會資訊服務處不斷追求金融革新的動力。

文章來源