iThome
金融業向來是產業資安的模範生,不論在資安自信心和資安預算都居各產業之冠,2023年金融業的資安預算更是高達了5,607萬元,比2022年成長了17.9%。一方面是金融主管機關這兩年越來越積極要求金融資安作為,不只大力要求金融機構設立資安長等資安治理作為,今年更發布了金融資安行動方案2.0,是全球第一個帶頭鼓勵產業擁抱零信任的金融主管機關。這些作為都再次驅使金融產業加碼資安投資。
這些資安法規的要求,再加上金融業積極推動數位轉型,擁抱更多現代化資安作法,金融業2022年遭駭指數創新低,只有11%,是從2018年,我們開始追蹤臺灣大型企業資安災情以來,五年內的最低點。換句話刷,金融業一年只有39天處於脆弱期,只有一個多月,足足是高科技製造業的10個月脆弱期的八分之ㄧ。
不過,金融業對於這個資安災情還不滿意,目前金融業平均發生的重大資安事件減少到了14.3次,平均發現攻擊時間也只有1.6天,但在系統遭駭後的平均復原時間仍然需要1.1天。這個復原速度,對於身為關鍵基礎設施產業的金融來說,仍舊是需要進一步改善之處。尤其,有許多金融服務的要求是不中斷的服務,一但停擺,對民生和經濟都會產生很大的影響。
雖然金融業的資安預算相較其他產業寬裕,但是金融資安長仍然覺得還需要再多2成預算,才足以因應金融產業所面臨的資安威脅。如何更有效聚焦衝擊大風險高的威脅,也是金融業資安長每年例行的重要課題。
從整體資安態勢來看,未來一年,金融業需要特別注意的首要風險有兩項,包括了駭客和社交工程手段的威脅。駭客威脅向來是金融業特別警戒的資安風險,這幾年都是首要風險。但,社交工程手段過去對金融業來說,屬於發生風險高但衝擊較低的資安項目,社交工程手段在2022年的衝擊影響排名第七,發生風險排名第二,但是到了2023年,社交工程手段的影響突然大幅提高,甚至超越了資料外洩的影響,和資安漏洞帶來的衝擊並列,而發生風險更超越了駭客威脅,一舉成為金融業未來一年最可能發生的資安風險Top1。
生成式AI的熱潮,提高了企業對社交工程威脅的擔心,金融業尤其擔心ChatGPT淪為輔助攻擊工具,也因此而更意識到,這類生成式AI可以助長社交工程手段的自動化和客製化,因而,金融資安長們提高了未來一年對社交工程手段的警戒心,因此拉高了這一項的風險等級,與駭客攻擊並列會金融兩大威脅。金融業也是唯一一個在衝擊高風險高的第一象限中,出現ChatGPT成為輔助攻擊工具的產業,更凸顯了金融業對這一項風險的擔心。
另外,值得注意的是,除了2大首要風險,攻擊級攻擊組織的威脅,成了金融業未來一年也需要留意的次要威脅。2024年是臺灣的大選之年,以往年經驗來看, 每到大選年都會出現更多駭客攻擊事件和威脅,尤其是來自國家級組織的威脅,也會在的大選年嚴峻許多。金融資安長們對於這一項資安風險的擔心,也反映到調查結果,讓這一項成了金融業今年突然驟增的風險項目,因此,我們也以紅色字體標註來強調。
除了這三項之外,在衝擊高發生風險高的第一象限中,還有其他值得優先留意的風險項目,包括了釣魚網站、網路犯罪者的攻擊、資安漏洞事件、資料外洩事件、勒索軟體資安事件(相較於其他產業,金融業對於這一項的擔心較低,風險等級不像其他產業列入首要風險,但仍是第一象限等級的威脅)、軟體供應鏈資安事件以及先前提到的ChatGPT成為輔助攻擊工具的威脅。
其中,軟體供應鏈資安事件逐漸受到重視的原因,與金融業積極擁抱雲原生技術有關,這幾年金融業積極擁抱容器技術、微服務架構等,也連帶採用了許多開源軟體和開源技術,這些技術背後使用了許多來自開源社群或各式各樣的上游開源元件,也讓金融業對於這些元件的安全性提高警覺,因此更在意軟體供應鏈的威脅,不過,國內目前對於強化軟體供應鏈安全的SBOM機制,採用意願和動力還不高,少數金融業自行建立安全開源軟體清單的作法,限制開發團隊只能從這份審核過的開源軟體清單中,選擇適用的元件,而不能任意使用外界開源軟體,來降低軟體供應鏈的威脅。
金融上雲再鬆綁恐提高2大資安威脅的風險等級
未來一年,還有一項值得關注的金融產業技術發展趨勢,就是金管會再次鬆綁了金融上雲法規,銀行局、保險局、證期局的上雲規範同步大鬆綁,不僅統一了法遵步調,也大幅簡化上雲申請流程,這將在2024年驅使金融業展開新一波加速上雲的浪潮。
這次鬆綁最大變革是大幅簡化了上雲申請流程,只有重大消金系統放上境外公雲,需要每件都申請,其餘上雲只要有首例核准,其他銀行即可自行辦理,不用再申請。這會加速金融業更積極上雲,也會帶動金融業採用雲原生技術的發展。但這也意味著,有兩項目前列在第四象限(衝擊低發生風險低)的資安項目,雲端供應商為跳板的攻擊,以及雲端服務資安事件,這兩項可能會在2024年突然驟增,進入了第一象限,成了金融業必須特別留意的新風險。
企業資安風險圖製作說明 在iThome 2023年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色文字的項目為今年發生風險明顯提高者。
問卷說明 大調查執行期間從2023年4月20日到5月10日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷407家,其中59.8%填答者為企業資安最高主管。
資料來源:2023 iThome CIO大調查,2023年7月
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-02