Fintech周報第247期：金管會發布零信任架構指引；多家跨國金融業者受到CrowdStrike事故影響

7/8~7/19金融科技精選新聞

金管會   零信任架構指引 

金管會發布零信任架構指引，提供業者依據分級指標導入零信任

近日，金管會正式發布「金融業導入零信任架構參考指引」，提供導入零信任架構的分級指標，讓金融業能根據內部狀態，分階段導入資安管控措施。

指引提供的分級指標共有四級，第一級為靜態指標，包含雙因子身分鑑別、設備識別、網路區隔與流量加密等。第二級則融入了動態指標，將資源存取時的動態屬性納為授權審核條件。第三級則以即時指標為主，業者要能在SIEM平臺上收容和整合資源存取相關事件日誌，對入侵指標或攻擊行為樣態進行即時偵測、判斷和應對。第四級則是最佳化的整合指標，能依資安政策快速調適管理機制。

 CrowStrike事故   摩根大通 

CrowdStrike事故發生後，國內外金融業者都遭受波及，摩根大通、瑞銀、德意志銀行和日本野村證券也受影響

7月19日，資安公司CrowdStrike更新EDR時出包，安裝微軟作業系統的電腦出現藍色當機畫面，不僅國內金融業者受影響，國際上不少重要金融業者也遭受波及。金管會近日在例行記者會上表示，受影響的金融業者包括2家期貨商、4家投信業、5家壽險業和2家產險業者。其中，保險業受影響裝置共有一千多臺伺服器，和一千多臺個人電腦，包含桌機和筆電。銀行局則尚無接獲業者通報重大偶發事件。

根據外媒報導，摩根大通、瑞士銀行、德意志銀行和日本野村銀行都受到CrowdStrike事故影響。其中，摩根大通的員工無法使用個人電腦，導致部分交易被延後處裡，他們也緊急將重要業務轉移到備份伺服器上運作。野村證券的交易櫃臺受到影響後，將部分交易轉移到個人電腦上運作。德意志銀行則是研究部門受到波及，部分研究報告得延後發布。另外，根據英國外媒報導，瑞士銀行過去在收購瑞士信貸時，連帶收購了瑞士信貸的部分過時系統，導致系統在事故發生後出現問題。

在國外，金融監理機構也受到影響。根據外媒報導，倫敦證券交易所用來發布監管公告的新聞服務受到影響，導致新聞無法在網站上發布。

 資料治理   花旗 

遭美國監管機構點名資料品質管理缺陷，花旗承諾投入更多資金提升資料治理能力

近日，美國聯準會和貨幣監理署認為，花旗集團長年未修復內部的資料品質管理缺陷，違反了過往向監管機構提出的改善承諾，因此對花旗集團開罰共1.36億美元。裁罰出爐後，花旗集團執行長范潔恩（Jane Fraser）在財報會議上回應，未來將會持續投資技術和數位轉型，推動營運現代化。他提到，過往投入的技術投資正在產生正面影響，包括縮短貸款撥款時間、採用自動化機制減少行員出錯、將風險分析系統遷移到雲端架構的基礎設施，還有提高平臺韌性和減少停機時間等。范潔恩期待，這些投資可以在未來協助集團減少人力開銷。

花旗集團財務長MARK MASON也補充內部的數位轉型進展。他表示，在企業授信和貸款上，花旗已經整合多個系統，實現端到端營運模式，提升了客戶體驗和營運效率。另外，在數據上，MARK提到，花旗已經建立了數據治理流程，並簡化數據架構。儘管如此，花旗承認資料品質管理上仍有不足，因此，MARK表示，花旗未來會投入更多的資金和資源在資料治理，並且，他們也會關注提升壓力測試能力。

 新加坡金管局   一次性密碼 

新加坡銀行將在3個月內汰除一次性密碼

為了協助銀行預防釣魚攻擊，新加坡金管局及新加坡銀行公會近日宣布，未來3個月內，新加玻主要零售銀行將逐步取消持有數位令牌（digital token）的用戶運用一次性密碼登入銀行帳戶。

新加坡金管局表示，這些用戶未來將在手機瀏覽器或行動銀行App上，使用數位令牌來登入銀行帳戶。這麼一來，用戶便不須再以簡訊接收一次性密碼（OTP），可防止駭客發送釣魚信件竊取用戶或誘使用戶洩露其帳密。

 新加坡金管局   AI 

新加玻金管局投入1億新幣支持金融機構發展AI和量子技術

新加玻金管局近日宣布，將在金融業技術創新補助計畫（FSTI 3.0）中追加１億新幣（近25億新台幣），支持金融機構發展AI和量子技術。在AI方面，金管局將支持金融機構在新加坡設立AI創新中心，讓業者能開發和訓練模型、研發對行業具備高影響力的AI應用、進行模型測試和監控，研究AI治理和風險管理政策等。另外，金管局也將發展AI平臺，讓銀行、科技業者和公部門三方合作進行開發，解決金融業共同問題。其中，詐騙偵測是金管局選定的第一個測試主題。

另外，針對量子技術，金管局提供三項補助措施，包括提供技術補助，支持金融機構採用量子技術解決方案，以及提供人力和基礎設施的補助等。

 台新銀行   AI 

台新銀行宣布設立AI訓練師職位，負責歸納內部大量資料並進行模型訓練

日前，台新金控資訊長孫一仕揭露了自家生成式AI發展計畫，他表示，內部正在透過預訓練基礎模型自建生成式AI模型。台新走向自建模型後，在人才培養上也有不一樣的布局。近日，台新銀行宣布設立「AI訓練師」職位，負責訓練及協助調整台新自建的生成式AI模型，讓模型產出正確的回應，也要歸納台新內部大量資料，進行模型訓練，提升模型的語意理解能力，並反覆驗證模型產出結果的正確性。

台新認為，AI訓練師不僅需要程式語言專長，也要對金融領域擁有深入了解。他們近日也和多所大學展開產學合作，由AI訓練師帶領學生進行資料蒐集和模型訓練，培育更多AI人才。

 金管會   金融科技政策 

金管會主委彭金隆正式發表金融科技發展規劃，共五大策略近20項措施

金管會主委彭金隆近日公布金融科技具體規劃和未來發展方向，共五大金融科技發展策略，包括要擴大容錯空間，加大創新領域，鼓勵金融業者團體合作研發技術，為產業注入創新動能，也會支持純網路金融發展，探索金融科技發展機會，例如開放金融業辦理虛擬資產保管業務等。

彭金隆的五大策略中，有一項關鍵策略，是要鼓勵金融業者打團體戰，包括開放金融機構與金融科技專利授權。彭金隆解釋，按照現行法律，金融業者獨立開發一項技術時，僅能在自家使用，「大大限縮了業者開發意願及能量。」因此，金管會未來希望開放勇於投資創新的金融機構，可以透過專利授權至其他金融機構的方式，來降低內部開發成本。（詳全文）

 蘋果   NFC 

蘋果於歐盟地區開放第三方行動錢包使用iPhone的NFC功能

2022年，歐盟執委會就曾表示，蘋果濫用其ios的獨占地位，限制開發者使用手機上的NFC技術，使第三方電子錢包無法和蘋果的Apple Pay競爭。今年1月，歐盟執委會表示，蘋果已對此提出10年承諾，將提供電子錢包業者和支付服務商能在iphone上使用NFC付款的API。

近日，歐盟執委會正式宣布接受蘋果提出的承諾，並且，他們也要求蘋果必須在今年7月25日前履行此一承諾，讓第三方廠商也能在iPhone上提供行動錢包服務。

其他重要Fintech新聞

• 日本福島銀行完成核心系統轉換，採用在雲端上運作的核心系統
• 立法院三讀通過打詐專法，虛擬資產業者也納入金融防詐體系

責任編輯／李昀璇

圖片來源／金管會

資料來源：iThome整理，2024年7月