圖片來源: 

攝影/洪政偉

去年12月,蔡英文總統在HITCON Pacific上喊出:「資安即國安。」,而今年二月份,金管會也終於正視金融業的資訊安全問題,要求6個月內,銀行內部必須設置資安長(CISO)與資安專責單位。當資訊安全逐漸被重視,更成為一個施政關鍵指標,法制的影響也將逐漸擴大。勤業眾信風險諮詢公司總經理萬幼筠在資安大會的第二天,以「威脅潛伏的數位時代」為題,點出法制與資訊安全的重要性,他表示:「安全就是建立起一個可信任環境最重要的核心。我希望,安全要變成一個內建的零件,更要成為企業的基礎架構。」

有鑑於臺灣金融業近來面臨了不少嚴重的資安威脅事件,金管會在二月份時召集臺灣所有銀行總經理,強制銀行內部必須設置資安長。除了在美國紐約設有分支的8個臺灣金融機構,在之前就已經應美國紐約金融監理局的要求,設立專責的資安長、專責機構以及編列預算,並向董事會報告,通過後再送交美國金融監理局,這些在美設有分行的臺灣金融機構對資安是具備一定程度的重視,但臺灣大部分的銀行仍舊對資安長一角存在許多疑惑。

萬幼筠以美國標準技術研究所(NIST)和美國聯邦金融機構檢查委員會的安全風險治理邏輯來說明,董事會與高階管理階層才是最關鍵的角色,「美國透過NIST規範,資安長一定要做風險評估,跟董事會報告。」

資安長做什麼?與風險長、法遵長、資訊長相互協力

然而,大家心中最大的疑惑,資安長的階層在哪?該做些什麼?又要怎麼跟風險長合作?萬幼筠表示,位階在協理與執行副總等級的資安長,主掌企業資訊安全的風險管理,並且跟法遵長、風險長、資訊長互相影響、互相報告。

資安長依據本國與海外各國法規監管指引,進行合規檢視與通報,再交由法遵長(CCO)向風險長進行違法事件通報;資安長也要向風險長(CRO)通報資安事件,並營運持續管理、資安保險的評估;資安長也要監督資訊長(CIO)的資訊控管要求,資訊長再向風險長通報系統與人為操作不當的事件通報。

和過去最大的不同是,以往大家首重撰寫標準作業流程(SOP),現在則是注重事後的因應。「因為沒有100%的安全,所以現在一定要做Incident Handling(緊急事件處理程序)。」萬幼筠說明。

此外,資安部門也是一個獨立部門,更要有獨立的預算編列,也因此資安預算與資訊預算脫鉤後,就不需要受到箝制,萬幼筠表示,資安部門不需要因為資訊部門跟A廠商很好,就順便買他們提供的資安服務。「現在許多金融服務都架構在網路上,安全性做不好,怎麼可能做KYC(Know Your Customer)呢?」他說。

「資安領域正在變形,滲透到各種地方」

搜尋結

 

 

萬幼筠指出,隨著跨境電子商務、跨國的電子應用以及各種新式科技的崛起,讓實體世界的疆界與圍牆無法再抵禦虛擬世界的資安威脅,海外企業也面臨了模糊且複雜的資安合規問題,當這些界線開始模糊的時候,就需要不同過往的法制仲裁。

社會上開始出現各種新型態的金融犯罪風險,但是他指出,臺灣的法制腳步還未跟上,他以一銀ATM盜領案中的俄羅斯的三名車手被當成共犯,並被判刑為例,「安德魯是只有高中學歷的車手,我們抓不到主謀(俄羅斯黑幫),但是寫程式的也不是俄羅斯黑幫。」他說明,這群駭入一銀ATM的駭客是在網路上寫攻擊程式,再賣給各個犯罪集團。俄羅斯黑幫向駭客購買程式碼,使用程式有時間限制,若要買更長的時間,就要再付更多的錢。但是,關鍵在於:「我們以前沒有看過這種事情,我們就嘗試用我們不知道的方式去解決他。」他更直指,未來這類無法確定法源的事件會越來越多。

在網路環境上,抑或是資訊環境上,安全是建立起一個可信賴的環境最重要的核心,「但是這些帶來效率的資訊環境並沒有打破我們的法規架構。」

不過,現在資安領域也開始透露出一絲曙光,除了上述的資安長設置是一個小起點外,目前擔任政府施政顧問的萬幼筠也透露,未來的台北市長候選人也紛紛對資安提出一些想法,使資安成為一項施政的關鍵指標,「資訊安全是帶給民眾福祉很關鍵的項目。」他說,雖然不管系統做得多好,還是有層出不窮的惡意軟體、0day出現,永遠也解決不完。但是,這也帶來無窮盡的能量,代表著資安領域的專才會一直都在。

他強調,安全必須要成為企業的基礎架構之一,也要是產品的內建元件。他表示,原本投入風險諮詢的主要是金融業,現在也有銷售通路開始需要資訊安全的解方。他表示,現在資安團隊還要投入食品履歷的研究,看有效期限是不是被人竄改。「資訊安全的領域正在變形,滲透到各種地方。」他表示,企業的Domain Know-How開始與技術安全的技術產生一些混合。隨著這樣的結構,他也提出警訊,資訊化越高,如果資安成熟度越低的話,整個國家的架構將不堪一擊。


熱門新聞

Advertisement