臺灣F-ISAC屆滿三年，金管會揭露推動進度與成果，將推動金融機構資安治理成熟度評估

面對金融科技快速發展與網路攻擊風險增高趨勢，隨著政府在8大關鍵基礎設施成立ISAC，建立國家級資安聯防架構，由金融監督管理委員會（金管會）推動的F-ISAC（資安資訊分享及分析中心），成立至今即將滿三年，從情資共享的威脅預警，到應變協處與監控防護，整體產業資安聯防架構已然成形，參與會員數已達376家（至2020年8月），這當中已包括國內所有的銀行與保險公司，同時也有證券、期貨、投信投顧業者，以及Fintech發展推動計畫中的業者加入。

將進一步打造監控組態基準與成熟度機制

在10月底，金管會資訊服務處處長蔡福隆揭露了他們最新的資安聯防三大計畫，包括自動化演練、資安監控組態與成熟度評估。

第一，建置自動化網路攻防演練場域。

基本上，這個演練場域的目的，在於驗證資安防護策略與資安事件緊急應變程序的有效性。蔡福隆表示，演練就是希望能夠了解駭客的攻擊手法，也就是透過自動化腳本的攻擊模擬，讓防守方的受訓人員訓練偵測與攔阻的資安防護技術。由於他們之前都是以人工的方式來模擬攻擊，他表示，之後利用自動化的攻擊模擬平臺，好處在於可以增加訓練的場次。

其次，是建置金融資安監控中心，這部分將有兩個發展重點，蔡福隆指出，包括訂定資安監控作業標準，以及建置二線SOC（資安事件監控中心）。

在8月舉行的臺灣資安大會上，金管會主任委員黃天牧提到這件事，到了10月，蔡福隆說明更多現行進展：他們正研擬資安監控组態基準及作業指引，已討論出95項規格，包括需要蒐集那些日誌資料等，才能有辦法有效監控，未來並將利用鎖定金融業的APT37、APT38駭客組織攻擊手法，來強化監控組態基準的規則；而在第一線金融機構要建立自身的監控中心之外，F-ISAC建立二線的監控，將導入系統化分析機制，分析事件資訊關聯性及風險程度，以識別我國金融領域潛在資安威脅及風險。

第三，是建置金融機構資安治理成熟度評估機制。

近年來，資安成熟度的概念已成主流，現在我們看到金管會也期望推動相關機制，而他們又是如何進行？蔡福隆表示，今年他們已經找了11家金融機構開始試行，同時，他們也根據美國聯邦金融機構檢查委員會（Federal Financial. Institutions Examination Council，FFIEC），所頒訂的網路安全評估工具（Cybersecurity Assessment Tool），讓金融機構可以評估其網路安全風險和防護狀態，希望藉此了解國內金融機構資安治理的程度，並跟國外相互比較，以更精進資安治理。

提升金融產業資安防護水準，從情資到演練及教育

對於F-ISAC在這三年的成果，蔡福隆也列出具體進展。例如，在情資分享方面，中高風險為情資累計發布達798則，包括金融資安事件、高風險資安漏洞、駭客攻擊手法等，另外，F-ISAC也提供偽冒金融網站與App，以及商業電子郵件詐騙BEC等情資，強化資安聯防。

對於DDoS與勒索軟體攻擊趨勢，以及針對ATM、SWIFT的情資，也是F-ISAC關心的焦點。以DDoS威脅而言，金融業在2018年4、5、11月，以及2019年10、11月，都發生多家業者遭攻擊的事件，大家都不敢輕忽，而他們也曾邀請10家金融業者參與DDoS攻防演練，包含瞬間大量與間歇性持續攻擊方式，測試電子交易網站之可用性與防護能力。

在教育訓練方面，F-ISAC舉辦24場資安研討會，以及8個梯次的威脅獵捕實作課程，較特別的是，還有兩場針對高風險或重大事件的閉門會議，因應SWIFT交易系統資安與IBM大型主機異常事件處理。

關於國際合作方面，他們在2018年與美國FS-ISAC合作，成為其全球情資分享體系會員，在2019年，也與日本F-ISAC簽署合作協議，並與歐盟FI-ISAC、以色列CERT-IL及南韓FSI建立情資交換管道。

至於成功推動F-ISAC的經驗，蔡福隆也整理出幾個重點，包括金融機構的信賴，例如建立營運規範及TLP燈號，監理機關保證不介入會員通報，以及公權力適度介入以求落實，此外還要有執行單位與金融機構都要能夠投入，包括臨時需求的配合與國際合作，以及業者要有專責單位與專業人力。

此外，過去其實官方還有提到需持續營造與會員之間信任感，要會員也能主動貢獻情資，不過在這次成效發表中未提到這點，應是會員們也要共同努力的目標，才足以讓整個生態朝向正面發展。

關於F-ISAC的營運，也是外界關注焦點，目前委由財金資訊負責，初期經費來源由行政院科技計畫預算挹注，這三年經費分別是2018年4,600萬元，2019年3400萬元，2020年3,800萬元，計畫將於2020年底屆期。為使持續穩健營運，因此，後續F-ISAC將向會員收取費用，在今年6月，收費標準草案已經出爐，除16家金控主體的年費20萬元，並以資產規模畫分不同會費級距。未來，收費機制將專款專用，並將成立委員會監督。