【iThome 2024資安大調查系列1】金融業未來一年資安態勢大剖析

顧客資料是金融業最重要的數位資產，也是攻擊者最常覬覦的目標。資料外洩事件和勒索軟體資安事件這兩項與顧客資料息息相關的資安事件，金融業未來一年發生的風險明顯大增，是今年得格外留意的重大威脅。不只如此，2024年金融業資安風險圖第一象限中，14項高風險高衝擊的資安風險項目，和2023年的項目有很大的變化，新增加了2項威脅升溫的資安風險，也有2項風險的威脅程度下降而離開第一象限，其餘12項風險的排名也有很大的變化。

社交工程手段和駭客威脅連兩年是首要風險，還有四項次要風險得警戒

社交工程手段和駭客威脅，連續兩年都是金融業首要的資安風險，社交工程的發生風險，還比去年略高了一些，金融業者得更加提防。去年金融業資安風險圖中的次要風險只有一項「國家級攻擊組織」，今年的風險圖則不只這一項，還新增了3項風險，包括了發生風險驟增的資料外洩事件和勒索軟體資安事件，今年比去年多達14％金融業者自認未來一年極可能發生資料外洩和勒索軟體資安事件，更比去年多了22%金融業擔心勒索軟體產生的重大衝擊，因此在今年成為金融業次要風險。

另外，資安漏洞（零時差漏洞）攻擊事件的威脅，在2021年時的風險頗高，甚至名列第三名高風險項目，隨著金融業積極強化IT現代化、汰換老舊系統，資安漏洞風險近兩年略有改善因而讓威脅感下滑，但是，到了今年，資安漏洞風險又開始升溫，尤其來自軟體供應鏈上游產生的資安漏洞，更是讓人防不勝防，隨著金融業積極擁抱雲原生技術，採用更多開源軟體和元件，軟體供應鏈風險是2024年衝擊上揚的威脅，連帶地也讓金融業者更擔心，來自上游發生的資安漏洞或後門。

金融業更警戒軟體供應鏈風險，結合深偽技術的商業郵件詐騙攻擊突然浮現

在今年資安大調查時間之後，3月29日爆發了震驚IT界的XZ程式庫遭植入後門事件，攻擊者精心潛伏2年，熱心維護程式碼來騙取其他人的信賴，就是為了在這個上游壓縮技術元件中植入惡意程式碼，感染整個下游的Linux作業系統軟體鏈，而且這類軟體供應鏈的資安威脅，每每都會出現CVSS風險超高的後門漏洞，甚至是10分滿分的超高威脅度，更需要及時修補才能避險。

但是，臺灣多數大型企業對軟體供應鏈攻擊風險的警覺心不足，從今年資安大調查結果，只有4％的企業擔心這樣風險。唯有金融業例外，遠比其他產業更警戒軟體供應鏈風險，金融業是六個產業中，唯一將軟體供應鏈安全視為高風險且高衝擊資安項目的產業。

XZ程式庫資安後門事件不會是唯一一起，後續也爆發出還有類似精心潛伏的可疑攻擊事件，資安界和開源圈也正都再次提高警覺盤查，軟體供應鏈資安在未來一年都會是資安界的熱門課題，金融業得持續保持警戒心，不能放鬆。

另外還有一項今年突然竄起的威脅是結合了「深偽技術（Deepfake）冒用事件」的商業郵件詐騙（BEC）攻擊。尤其今年2月，在香港爆發了一起合了這兩者的詐騙攻擊，引起全球金融圈高度重視。駭客不只假冒了總部財務長要求匯款的詐騙郵件，分公司員工就算察覺到異常而要求視訊驗證，但駭客，利用深偽技術，假造了整個視訊會議，除了遭詐騙的員工，其餘與會的高層和同僚都是AI偽造的長相和聲音，讓該員工卸下心防而依照指示轉帳，損失高達2億港幣（約臺幣8億多元）。

這起事件在今年度資安大調查之際對外曝光，也讓金融業資安長格外警戒這項威脅，近2成的金融業資安長，今年首度將這項風險視為未來一年可能發生的資安威脅，甚至有15%資安長認為，一但發生將對企業帶來重大衝擊。

金融業未來一年發生風險大增的資安項目，除了商業郵件詐騙、前述提到的勒索軟體資安事件、資安外洩事件、深偽技術冒用事件之外，還有一項得留意的是假訊息不實資訊事件。
金融詐騙事件從去年開始暴增，尤其各種假訊息不實資訊的散播，更成了金融主關機關特別打擊的重點，也讓金融業資安主管格外重視這一類的威脅。今年不只多了一成金融資安主管擔心這項風險的發生，更比去年多了16%的金融資安主管評估，假訊息不實資訊將對金融業帶來重大的衝擊，不是可以輕忽的威脅。

7項資安風險的衝擊明顯提高，5項威脅的發生風險明顯增加

金融資安長不只更擔心假訊息不實資訊帶來的高衝擊，今年所調查的25項資安風險項目，多達7項風險，在今年都多了1～2成的金融業者列如高衝擊清單，這個新興高衝擊項目的數量，遠高於其他產業，這也反映出金融業資安態勢在今年出現了很大的變化，7項衝擊明顯提高，5項發生風險明顯增加。在金融資安風險圖中，兩者皆提高的項目，以紫色文字標記，只有風險大增者以紅色文字標記，而今年只有衝擊明顯增加者則以綠色文字標記。

金融業的IT預算和資安投資向來高居各產業之冠，資安信心也遠高於其他產業。將資安信心水準分成5個等級，極有信心是100分，有信心80，大致有信心60分，只有一點信心40分，沒有信心是20分。以60分（大致有信心）為及格線，整體產業平均是67.1分，金融業的信心分數是74.8分，這個分數雖然各產業最高，但離「有信心」仍有一段差距。

金融業那一項資安防護能力最弱？從NIST CSF網路安全框架2.0版的六大面向來看，治理（Govern）、識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover）。金融業對自己的復原能力（71.1分）最有信心，這個信心甚至高於整體產業平均（70.2分），但是，高科技業對保護能力最有信心，平均77.4分，而在應變和復原能力上的信心水準較低，皆是73分，金融業對自己這兩項能力的信心，都比政府學校略低。將近3成金融業者認為，自己對資安事件的應變和演練不足是無法做好資安的因素。

雖然，這兩年金融主關機關也大力推動金融資安聯防，加強各項攻防演練，甚至是鬆綁金融上雲、鼓勵雲端備份、備援來提高金融資料的保全，也逐漸展現出成效，但是，金融業者仍然對自己應變和復原能力的信心較低。

金融業今年資安投資平均6,373萬元，比去年大幅增加了11.2%，達到兩位數的成長，更有73.5％金融機構今年要持續擴編資安人力。今年更有高達61.1%的資訊長和資安長，將推動資安轉型列為年度重要目標，要推動如主動防禦、零信任、資安左移等作為。

在主管機關鼓吹下，今年近4成金融業要投資零信任身分與設備鑑別，2成則甚至還要進一步投資零信任網路推斷與信任推斷等。趕搭生成式AI浪潮，5成金融業者開始驗證或測試GAI金融應用的可行性，也同時積極提高員工的GAI資安意識，也要強化機敏資料保護機制。

整體來說，金融業未來一年在第一象限（高風險高衝擊）中的14項資安風險項目，包括了駭客、社交工程手段、國家級攻擊組織、資料外洩事件、勒索軟體資安事件、資安漏洞（零時差漏洞）攻擊事件、網路犯罪者、釣魚網站、軟體供應鏈資安事件、商業郵件詐騙BEC、第三方/委外業者是攻擊者、被植入竊資軟體/後門木馬、ChatGPT/GAI成為輔助攻擊工具、以第三方為跳板的攻擊等項目，這些都是金融業在未來一年可以優先投資資安資源的重點。

從金融業資安風險圖來看，明顯更是比其他產業風險圖斑斕了許多，這意味著，不少資安風險項目在這兩年有新的變化。金融業資安主管必須審視自家資安風險與這份整體產業資安風險圖的落差，對於自己不夠重視，但卻是業界高度警戒的項目，今年得改變心態，開始正視。文⊙王宏仁

 企業資安風險圖製作說明  在iThome 2024年CIO暨資安大調查中，由企業自評各資安項目的兩項指標，一項是該項目對企業帶來的衝擊程度（衝擊極高和衝擊極低），另一項是這個項目未來1年的發生風險（極可能發生與極不可能發生），再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊，位置越往上代表衝擊越大，水平軸是企業未來1 年發生該項目的風險，位置越右，代表可能性越大。紅色字的項目為今年發生風險明顯提高者，綠色字項目是今年預估衝擊明顯提高者，兩項皆明顯提高者為紫色文字。

 問卷說明  大調查執行期間從2024年2月15日到3月15日，對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管，進行線上問卷，有效問卷422家，其中62.8%填答者為企業資安最高主管。

 相關報導