【臺灣資安大會直擊】金管會大談四大金融資安監理，顧立雄更要金融業將資安視為業務創新的基石

「金融資安，是金融業務創新發展的基石。」金管會主委顧立雄在臺灣資安大會金融安全論壇中開場時強調，金融業在發展科技創新時，勢必會帶來新的資安風險，所以仍須兼顧風險管理。尤其要面對越來越全球化和專業化的駭客攻擊，他進一步指出，金融業要發展以風險為導向的資安防護機制，來建立更完善的資安防護機制。

在2019臺灣資安大會特別安排了一場金融安全論壇，不只金管會副主委黃天牧揭露金管會金融政策中與資安防禦相關的四大金融資安監理作為，金管會主委顧立雄也親自開場致詞，來凸顯金融業主管機關對資安的重視。

而金融業界也齊聚一堂，包括永豐金控資安長李相臣、台北富邦銀行數位金融顧問李維斌、玉山銀行暨玉山金控資訊長謝萬禮、第一銀行資訊長劉培文、台新金控資訊長孫一仕，與將來銀行籌備處策略長吳建頤。

此外，勤業眾信聯合會計師事務所董事萬幼筠，也針對金融機構在創新的同時，該如何強化企業的資安韌性進行演說。戴夫寇爾（DEVCORE）執行長翁浩正，也以駭客觀點看金融業情資，並分享企業如何在紅隊演練後，最佳化資安的資源、預算等投資。

金管會主委顧立雄。

顧立雄也提到，金融機構面對來自全球的資安攻擊，如何化被動為主動，全面分析預防系統性風險的發生，是金融資安管理的首要課題。

金管會副主委黃天牧也表示，「資安是所有人都要關心的議題，雖然資安不可能百分百做好，但金管會有責任要將資安環境做好。」

金融領域資安防護痛點

但，金融資安體系有四個防護痛點，黃天牧指出，第一是風險高，組織型駭客不斷試圖攻擊或勒索金融產業，一是為了錢，二是為了個資。第二是威脅多，金融產業快速發展新興技術時，就會與外界有更多接觸，進入金融體系的機會就越大．資安的威脅也就會增多。

第三是溝通少，金融機構的資安防護各自獨立，跨行間缺少訊息溝通管道，所以需要協調平臺讓大家分享資安訊息。但是，金融機構本身不希望將自己遭受資安的問題，讓主管機關知道，主要是擔心受到名譽的損傷，以及害怕主管機關對它做更多的監理。「我們必須驅除這心賊，讓大家知道一起討論資安問題，才能對資安做更好的維護。」黃天牧強調。

第四則是金融資安專業人才短缺，不止金融業缺乏金融科技與資安人才，金管會也做了臨時性的編組，把人力調整，在金融科技與資安上做了些著墨。

金管會推動金融資安監理的四項策略方向

金管會副主委黃天牧。

黃天牧表示，為了要推動金融資安監理，金管會也有四大推動策略方向，包括強化政策驅動、完備資安規範，提升資安能量以及落實資安執行，要藉由這四方向，完善金融資安制度，並推動業者落實執行。

他提到，在強化政策驅動上，不是強制要求金融機構做資安，應該是要給個誘因，讓金融經營業者有動能去重視資安。

金管會的作法是給出經濟誘因，然而，經濟誘因得與金融機構的業務有所連結。黃天牧舉例，金融業者申請開辦業務案件時，金管會就會檢視業者資安管理做得好不好，「資安會被列為業務准駁的重要考量因素之一」

金管會也會將資安，納為存保費率計提的因素，讓資安做得好的銀行，適用較低的存保費率等，透過降低業者經營成本，作為鼓勵。而未落實資訊安全的金融機構，就會提高其作業風險法定資本的計提，讓兩者有所區別。

「在金融監理，主管機關扮演的是推動者的角色，最重要的還是金融機構的董事會要負責資安的維護。」黃天牧強調，許多董事會其實不知道該如何監理資安，常常是知其然，不知其所以然。所以透過教育訓練，去強化企業董事會對資安的認知，以及對金融監理的能力，變得相當重要，因為董事會是營運公司最重要的決策族群。

黃天牧表示，金管會也會在約談金融機構負責人時，將資安納入約談議題，要求負責人對資安有充分認知，換言之，金融機構董事會和負責人對資安的態度，會決定這個金融機構重不重視資安。

而在完備資安規範部分，金管會認為，資安問題是與各金融機關的業務有關，而公會又是最清楚銀行、保險、證券做了哪些業務的組織，所以金管會會去要求公會訂定並定期檢討資安自律規範，因為他們才知道金融機構的業務，在現有的IT技術水準上，應該要做到什麼樣的資安規範。

「金融機構資安做不好，等於內控做得不好，就會有處分的規定。」黃天牧透露，近期銀行法與證交法會有新的修正，將會強化處分範圍與法度，對於因資安做不好而違反內控，將來會有更強的處分機制，藉此進行節制。

再來是提升資安能量，過往，資安可能是資訊的一部分，所以金管會規定銀行業與保險業資產總額達1兆元以上，需設置獨立的資安專責單位。「有專責單位，就會有更多的資源，有資源就會好好做資安，因為資安是花錢的。」他說。

黃天牧表示，「資安不是口頭說說，而是要真正去做。」金管會每年也會配合行政院規畫，選擇部分金融機構作實際的跨域情境演練、DDoS演練、電子郵件社交工程、外網滲透測試與內網滲透測試。他也透露，金管會今年將規畫金融核心系統實驗場域，以及紅藍軍對抗等攻防演練，要用更逼真、挑戰的情境去測試金融機構，是否擁有抵禦資安的能力。

最後是落實資安的執行，金融業得強化內部資安稽核功能。黃天牧提到，金管會的檢查局從去年開始，不只是做一般性的檢查而已，而是針對資安議題辦理專案檢查，藉此督促金融機構改進。未來，金管會也規畫辦理對網路銀行與行動銀行的專案審查，同時也正在準備，當未來純網銀成立後，將以何種機制進行審查。