3年前,金管會展開了金融資安行動方案1.0,「金融機構對資安一定要有整體思維,而且必須超前部署。」金管會主委黃天牧當時用一句話來總結這個影響金融全產業資安政策背後的核心精神。
黃天牧曾擔任過金管會資安長,他希望不要等到發生資安事件後才修補資安規範,因此格外強調,金融產業要從整體角度和事前準備這兩大原則來思考資安,交由金管會資訊處來規畫出這套資安政策。
「金融機構對資安一定要有整體思維,而且必須超前部署。」金管會主委黃天牧在2020年時用這一句話來總結金融資安行動方案的政策核心精神,這個原則也延續到2.0方案,同樣從整體思維角度來推動更多超前部署的資安措施。攝影/洪政偉
1.0版方案已經達成8成目標
這個4年計畫,經過2年多的推動,在金管會資安監理、金融機構資安治理和資安作業韌性,資安聯防體系的提升和強化上,帶來了不少重大成果。金管會資服處處長林裕泰指出,到了2022年,已達成超過8成的KPI。
例如統計到2022年底,已有75家金融機構設置了資安長,25家則遴聘具有資安背景的董事,27家聘有資安顧問,還有24家金融機構設置了資安諮詢小組,越來越多金融機構的管理高層比過去更有資安意識和相關知識。而在執行面上,已經設置資安監控機制(SOC)能即時偵測和因應網路異常的金融機構,更超過了91家(銀行34家、證券28家、保險29家)。國際資安國際標準的採用上,過去以銀行導入者較多,但這2年來,數十家證券和保險公司陸續取得驗證,統計到去年12月已有33家銀行、37家保險公司和20家證券取得國際資安管理標準的驗證。
金管會這幾年也積極推動金控集團、同業公會、金融資安資訊分享與分析中心(F-ISAC)以及證券暨期貨市場電腦緊急應變支援小組(SF-CERT)等組織,共同來建構資安事件應變支援體系,截至去年底,已有339家金融機構與相關機構,成為F-ISAC會員,共享資安情資,光在2022年1~8月就有90筆來自會員分享的情資,類型包括了釣魚郵件情資、偽冒臺灣金融機構寄送釣魚情資、偽冒臺灣金融機構網站或App、可疑IP位址、勒索軟體、大量異常連線、疑似資料外洩、國際事件情資、漏洞情資等。
金管會在去年建置了情資管理分析平臺,到了去年7月更發布了情資分享辦法,以雜湊值、IP位址、網域名稱、網路/主機產物,一直到攻擊工具及攻擊手法TTP,來定義出情資影響力,希望能加速各會員的情資分享。
F-ISAC所建置的二線F-SOC,統計到去年第三季,已有40家金融機構加入,讓自家SOC與聯防監測中心協同運作,來建立更大規模的金融資安事件監控體系,分析整體產業的資安風險。F-ISAC更在2022年加入全球最大國際資安應變組織FIRST,可以更快取得更多國際資安聯防經驗和情資,來強化臺灣金融資安體系。
為了支援各項資安作為的人力需求,金管會除了訂出金融資安人才職能的地圖,也培訓了超過6千人次的資安人力。金管會更自辦或協辦了多場資安演練,如2021年舉辦金融DEFENSE資安攻防大賽,2022年時,在6月舉辦DDoS攻防演練、8月和9月時舉辦網路攻防演練課程,10月則更舉辦金融重大資安事件應變情境演練等,來提升金融機構資安團隊的實戰能力。
這兩年來,金管會陸續增修訂了多項自律規範或參考指引來兼顧金融創新與安全,例如增加了金融機構資通安全防護基準、網路安全防護基準參考指引、供應鏈風險管理參考指引、作業韌性參考指引,金融機構使用物聯網設備安全控管規範,也有現有基準中增加新作法,如金融機構辦理電子銀行業務安全控管作業基準中,增加了電信認證網路身分驗證機制。
全球資安情勢再變,疫情加速轉型帶來新數位風險
早在2022年9月臺灣資安大會時,金管會副主委邱淑貞就強調,疫情讓金融業的業務大幅發展到非面對面的型態,所有金融機構的前中後臺也大幅改變,居家上班、異地辦公的普遍施行,都讓資安也得跟著重新布局考慮。
但是,過去2年,全球金融資安情勢又有不少重大變化,SWIFT跨國電匯系統遭盜轉、ATM遭盜領、金融機構DDoS攻擊勒索事件仍舊頻傳,金融機構仍是攻擊者頭號目標。資安漏洞頻傳,攻擊者往往鎖定委外廠商、軟硬體供應商作為跳板的攻擊事件越來越多,不只要做好自家防護,金融機構也得面臨越來越高的供應鏈資安風險。
不少資安公司更是警告,國際金融犯罪組織在重大金融資安事件中成為重要角色,以計畫性、規模性的發動攻擊,也不只鎖定單一金融機構,甚至鎖定整個國家的特定金融產業。這些威脅都讓金融機構面臨了比過去更龐大的的資安威脅。
不只資安情勢驟變,過去兩年的新冠疫情,更帶來了許多新的資安考驗。一方面,金融機構在疫情期間,調整營運作業模式,改採分區辦公、異動辦公或居家辦公,因而出現了許多利用疫情發動的攻擊,例如偽冒客戶聯繫居家辦公同仁進行詐騙轉帳,或更多結合釣魚郵件及語音釣魚等社交工程攻擊的手法。
另一方面,疫情加速金融機構數位轉型腳步之際,也讓金融機構得面臨更嚴峻的數位資安風險,尤其App、雲端服務、開放銀行、Open API、eKYC等新興金融數位應用往往涉及了與第三方或資訊服務供應鏈的合作,也讓銀行的資安警戒範圍,現在得進一步擴大到銀行之外,這也是過去少見但現在越來越常見的新考驗。
所以,早在去年9月臺灣資安大會時,金管會副主委邱淑貞就強調,疫情讓金融業的業務大幅發展到非面對面的型態,所有金融機構的前中後臺也大幅改變,居家上班、異地辦公的普遍施行,都讓資安也得跟著重新布局考慮。
她當時這一席話,點出了金融資安行動方案非調整不可的理由,她更透露後續的調整重點,「業務到哪裡,資安到哪裡,」邱淑貞強調,隨著業務型態的發展,金融機構對資料的管理政策,同樣要嚴謹覆蓋。其次,金融機構對客戶的身分認證機制,要有足夠的防護能力。第三,從偵測、監測事件發生,到恢復正常營運,金融機構要需逐步加強這樣的基本功。
最後一項則是要推動公私協力,各行各業一起提升,讓整體資安聯防真正發揮應有作用,不止是金融各業別,還要延伸到如電信、委外資訊廠商、跨業行銷的合作機構都要共同提升。
到了去年12月,金管會發布了金融資安行動方案2.0,延續1.0版四大策略,但是增加了14項精進措施,不只強化資安管理面、技術面,人力培訓,更涵蓋了核心資料保全和數位服務的身份驗證相關規範修訂上。邱淑貞指出,2.0版金融資安行動方案,不只注重資訊安全,更要擴大到資訊的安全使用。
金管會在去年底發布了金融資安行動方案2.0,延續1.0版四大策略,但是增加了14項精進措施,不只強化資安管理面、技術面,人力培訓,更涵蓋了核心資料保全和數位服務的身分驗證eKYC相關規範修訂上。圖片來源/金管會
金融資安行動方案2.0藍圖去年底出爐
在去年12月27日的金融資安行動方案2.0版記者會上,林裕泰強調,新版不只繼續擴大要求資安長設置政策,甚至進一步定期召開資安長聯繫會議,而為了因應數位轉型和網路服務需求,金管會也將修訂更多項自律規範,並將金融核心資料保全納入2.0方案的重點。
另一個新重點是,2.0版將鼓勵金融機構採用零信任架構,來強化連線驗證和授權的管控。在資安人才培訓上,金管會將加強對攻防演訓人才的培訓,規劃重大資安事件支援演訓,並且要提升資安情資分享的動機,來提高資安離房運作的效能。
金管會先在2020年中發布了金融資安行動方案1.0,因應新資安情勢和執行成果,在2022年12月發布了2.0新版方案,發展藍圖中,具體措施就是1.0版執行重點,精進措施則是2.0版的新重點。圖片來源/金管會
五大重點:資安長聯盟、零信任、第三方資安、資料保全和攻防實戰力
金管會在1.0版方案中開始要求金融機構設制資安長,到了2.0版,將進一步要求電子交易量大的業者也必須設置資安長。不只要求更多企業設置資安長,對資安長的角色也有更多期許。金管會過去對資安長職責要求,主要是強化經營階層對資安的掌握和因應,也將資安風險納入經營決策考量。
未來,林裕泰表示,金管會將定期舉辦金融產業的資安長聯繫會議,不只要促進資安經驗交流,有助於推動資安戰略的研議,更希望能優化資安制度,進行資安事件指揮調度,來強化金融產業對重大資安事件的因應能能力。邱淑貞表示,資安長聯繫會議暫定半年舉辦一次,遇到重大議題,會由她親自主持。各局也會各自按需求舉辦資安長聯繫會議。
換句話說,這個資安長聯繫會議的形式,等於可以將銀行、證券、保險的資安長,甚至未來交易量大的金融業者,如電子支付業者的資安最高主管,串聯成一個跨產業的新資安長聯盟組織,這也將成為金管會建立重大資安事件虛擬指揮及應變體系的關鍵組織。
鼓勵金融機構導入零信任架構
除了資安長政策的強化之外,2.0方案另一個重點是金管會將鼓勵金融機構導入零信任架構。行政院在國家資通安全發展方案110年到113年版上,規劃政府機關要導入零信任網路,先從資通安全等級A級機關開始做起。金管會在2.0新版方案中,也延續這個政策方向,要鼓勵金融機構來擁抱零信任架構。
金管會參考行政院推動零信任網路的部署方式,將採取鼓勵而非強制的做法,建議金融業分階段導入零信任網路部署,包括身份鑑別、設備鑑別、信任推斷等三大零信任網路的核心機制,另外還建議要搭配網路與資源的細化權限管控機制,來因應數位轉型後的資安防護需求。
另一方面,為了強化金融產業的防禦縱深,金管會還計畫要以零信任架構重新檢視多項金融資安議題,來修訂相關資通系統安全自律規範,包括內外部網路的資源存取、網段隔離、邊界防護等議題。
邱淑貞指出,會運用既有鼓勵手段,來鼓勵金融機構採用零信任。例如將資安風險因子納入新申辦業務的準駁參考,或是作為作業風險法定資本計提、存款保險費率調整、保險安定基金費率的參考。但邱淑貞也強調:「顧客對銀行的信任,將會是金融機構採用零信任最大的獎勵。」副主委這一席話,透露出未來金融產業標榜自我資安能力優異的新標準,將拉高到零信任架構。
金管會也會擴大要求金融機構導入國際資安管理標準和建制資安監控機制,過去只要求導入與否,但未來金管會將進一步要求導入的驗證範圍,金管會請各業別公會,按照各業別特性來訂定不同的驗證範圍,例如資訊基礎設施、 全部核心資通系統、核心業務流程、網路金融服務或相關人員資產等。值得留意的是,細分和訂出各金融業別的國際資安標準驗證範圍,是2.0方案中特別排定將在2023年推動的重點項目。而在資安監控機制要求上,則將進一步要求電子交易達到一定比例的大型業者,要求這些業者要有資安監控組織、作業程序,監控機制要訂定出監控範圍,提供事件關聯分析、事件單管理以及,也要有事件通報和應用機制等。
另外,為了因應金融產業這幾年數位轉型和金融網路服務開放的需求,在2.0版中,金管會也將修訂多項自律規範,例如將依據ISO 29115「數位身分驗證等級」,將身分驗證依照登錄、信物管理、驗證等運作階段來劃分,區分出不同階段需要的驗證強度等級,並且要建立與金融業務風險之間的對照,然後進一步依據不同業務風險所需的身分驗證強度要求,來修訂eKYC的相關規範,例如電子銀行安控機制等,其次也將修訂與第三方合作風險評估相關的規範,例如和新資訊系統供應商或跨機構資服業者合作廠商的風險評估與查核方式,規範重點也將納入金融服務韌性與網路邊際防護等重點。
甚至,針對新型態網路攻擊行為,例如DeepFake、混合式網路釣魚、供應鏈攻擊等也會有因應的風險管理規範,甚至,林裕泰指出,來不及訂定規範的需求,則會以指引方式來因應。
資訊安全的使用是2.0版的一大特色,尤其是金融核心資料保全,金管會計畫針對各業別來訂定各自的核心系統備援演練指引,一方面識別核心業務,以及支援核心業務持續應用的必要系統,訂定最大可容忍中段時間,來進行演練和壓力測試,甚至會要求金融業者在實際對外服務業務的運作驗證,核心資料保全上要將檔案、資料庫加密和分持儲存,甚至備份到第三地或是雲端。
為了提供一套有資安監控和防護有效性的評估,金管會將運用DeTT&CT防禦方法論,將金融機構常用的資安、網路、應用系統等設備,對應到MITRE ATT&CK的網路攻擊手法,針對金融機構容易遭受到的攻擊技術和手法,產生相對應的SIEM資安監控規則,提供給金融機構參考。
新增網路攻防人才培訓,也將調查第一線資安人才需求
除了管理面和技術面的精進措施之外,第五項新特色是在資安人才培育上,2.0版
特別注重網路攻防人才的培養。除了原本的監督治理、安全開發、資安維運之外,新增了第四類網路攻防人才的培訓類型,希望能強化金融機構因應資安事件的能力。在網路攻防課程重點上,將導入美國資安專業組織MITRE ATT&CK & Engage攻擊防禦方法論,使用自動化攻擊情境腳本來演練,例如SQL Injection、木馬攻擊、勒索軟體攻擊等。
林裕泰更補充,過去都是由資安人才供給面來培訓,2.0方案中將增加對金融機構對資安人才需求的調查,從金融機構需求面來培訓金融資安人力。
2.0版方案也將舉辦重大資安事件的支援演訓,將聯合金控集團應變小組、周邊單位和公會資源小組,以及F-CERT金融資安應變體系,分為策略推演和技術操演兩大類活動。策略推演包括了採取簡報式推演以及決策模擬推演,像是混合連續式推演、階段式推演方式,或是特定功能推演的模擬。不只在模擬環境的操演,也會有真實環境的操演,像是DDoS演練、紅藍隊演練或是入侵模擬演練等。金融資安攻防演練競賽和重大資安事件應變情境演練,也將改為定期每兩年舉辦,按排程將在2024年舉辦這兩項大型演練活動。金管會希望透過這些實戰模擬的演練,來提高金融機構攻防的實戰能力。
林裕泰表示,2.0版金融資安行動方案,持續了1.0版23項措施,擴大了原有5項,也新增了14項新措施,希望能針對不同業別、規模及業務,給予不同的資安要求。希望能夠打造出安全穩定的數位金融交易環境,提供多元便捷的金融服務,又能兼顧保護消費者金融資產和個資。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-15