臺灣金融資安聯防剛起步，日本F-ISAC在臺分享近年實務經驗

對於國家產業發展而言，資安防護早已成為全球關注重點，成立不同領域的資安情資分享分析中心（ISAC）平臺，則是近年各國的主要作法，其中，金融領域的重要性更是不言而喻。在本月13日舉行的HITCON 2018 Pacific大會現場，日本F-ISAC専務理事鎌田敬介，現場提供了他們的運作經驗，幫助300多個成員促進更多的情報與資源分享。

其實，臺灣在去年底才剛剛設立了金融資安資訊分享與分析中心（F-ISAC），並委由財金資訊公司負責中心營運，處於發展起步階段，而從這次日本F-ISAC來臺推動的過程，也將成為我國得以借鏡的機會。

以促進成員資源分享為主軸，藉由工作小組與逼真演練來落實

先從國家金融層面的角度來看，鎌田敬介指出，他們將日本金融分成三大層級，包含政策戰略、標準準則與程序運作，當中分別可對應不同的組織機構及執掌畫分。舉例來說，政策戰略層就像是日本的金融聽、日本銀行等角色，標準準則層包含銀行、證券、保險等協會，至於程序運作層，就是F-ISAC。

在日本F-ISAC的發展上，是從2014年8月正式成立，至今已經超過4年。事實上，該組織的雛形是從2012年開始確立，當時由7家主要銀行發起，目前已有超過363個成員。而且，在委員會成員中，也包含了12個業界的代表。

鎌田敬介認為，面對現在的資安風險，沒有一家業者能有足夠的資源來因應。更重要的是，儘管許多銀行可以部署很好的系統來防禦網路攻擊，但還有不少小銀行沒有資源，如何能讓這些資源可以有更好的分享，就是他們的重要工作。

值得一提的是，為了讓資源分享有更細的畫分，目前日本F-ISAC設立了10個不同項目的工作小組，讓成員可以參與多個不同的小組活動。綜觀這些工作小組的內容，包含了事件應變、網路安全練習、反詐欺匯款、全球資訊共享、教育、情報、最佳實作規範、安全性弱點應變、金融科技安全，以及活躍的知識中心。這樣的分組，等於是讓各個金融業者，都能夠更聚焦在一些面向。舉例來說，網路安全練習的工作小組有80個成員加入，每次規畫不同情境來練習，參與成員可以將成果帶回自己所屬單位。

此外，由於日本腹地不小，在一些偏遠的地方，他們也會舉辦地區性的活動，來幫助提升相關意識。

特別的是，他們還推出一個名為Cyber Quest的練習活動，這是為期兩天的活動，且是力求逼真的演練，要求法治單位與金融機構都能夠參與。而演練的內容，都是金融機構成員自己策畫，以達教育內部員工的目的。

鎌田敬介進一步說明，這個逼真的模擬演練，就是將實際攻擊牽涉到的所有人員都納入。舉例來說，從發現網站被攻擊，到聯繫技術部門，以及如何應變，不論是組織相互之間的溝通，回報資訊安全長、準備新聞草稿發布，甚至是召開記者會道歉等，都讓流程如實進行一遍。對於各個角色的人員來說，一旦發生資安事件時，就能更具體認知本身該負責的工作。

金融領域面臨資安的觀念要先建立

關於金融領域面對資安的觀念，鎌田敬介先從金融領域常見攻擊型態談起，包括DDoS、安全性弱點被濫用、APT與網釣攻擊、帳號劫持、惡意程式、網頁竄改、勒索軟體、金融木馬。如果是用戶不熟資安，他也建議，至少先要對這些攻擊型態有所認識。

以網路攻擊對企業商業損害來看，簡單來說，就是資訊外洩，以及造成線上服務或營運的中斷。

至於該如何看待網路攻擊所帶來的風險？鎌田敬介表示，需要知道駭客攻擊金融的背景與原因，他並以六種類型來說明，包括出於技術與樂趣、議題運動者、有金錢利益驅使，還有像是國家單位的攻擊、網路大戰等，此外，他也特別提到年輕一代可輕易下載工具而實現攻擊，並將其視為單獨一種類型。

他強調，資安風險不單單只是IT部門的問題，將影響到各個層面，不論是財務、人資、法務等，這也就是為何要高層負責人來認識資安，因為才能通盤考量，也能促使更多資源投入。

此外，在實務上，更要重是的是找到安全跟風險的平衡點，這一點也必須要有體認才行。

要做好網路安全，鎌田敬介提到了五個重要關鍵，包括使用最佳實作規範與標準、風險管理、危機管理、資安事件應變，最後一項則結合了合作、資訊收集與情報。

而在這五個關鍵點中，各自都有需要相關的注意面向。從最佳實作規範的5個基本要素來看，包括識別、保護、偵測、應變與復原，其中，傳統IT管理因應的是保護與偵測，SOC與CSIRT則是因應偵測與應變，當然危機管理也牽扯到應變與復原，而風險管理也要注意身分識別與認證這一部份。

在風險管理上，要能知道做好資產盤點、風險評估、威脅評定，並要能對不預期的風險回應，建立策略性的觀點，以及導入標準與框架。並要能辨識風險是什麼？為何發生？知道如何做出最好的回應，以及快速恢復到先前的狀態。

這當中他也提到一些需要注意的概念，舉例來說，要從一開始就要想到對於駭客想取得的東西，該如何提前強化防範措施，而不是遇害後，才去想怎麼偵測與保護；一旦發生傷害，應變上也需要依照風險管理的標準流程進行；防護上也要有一套標準作法，來因應所有的威脅，而不是只針對APT、DDoS的單一攻擊型態來防範。他並指出，這些因應還要有良好的內部溝通來配合，如果內部沒有做好往上呈報的工作，可能帶來無法看清整個事件的問題，甚至可能從小問題而變得更加惡化。