整理:張嘉伶、陳雅莉
增進實戰能量 金管會今年擴大演練 資安韌性應成強化金融穩定助力
為提升金融機構資安防護能量,金管會鼓勵業者重視資安人才培育與配置、辦理資安攻防演練。資安韌性與金融穩定密不可分,資安韌性應成為強化金融穩定助力,達到安全、便利、不中斷金融服務願景。
近年來,隨著金融業發展金融科技、數位轉型,資安韌性更顯重要。2020年,金管會發布「金融資安行動方案1.0」,協助金融機構執行資安防護,期使民眾在更安全、更便利的環境下,使用不中斷的金融服務。進入後疫情時代,考量國內外資安情勢變化及實務運作情形,並參考國際資安監理政策,金管會滾動檢討,於2022年底發布「金融資安行動方案2.0」,持續強化金融業的資安戰力。
金管會表示,為持續提升金融機構資安防護能量,金管會鼓勵業者重視資安人才培育與配置、辦理資安攻防演練,同時也督導建置金融資安資訊分享與分析中心(F-ISAC),持續加強情資分析的深度與廣度,與金融業者攜手建立資安聯防體系,讓資安韌性成為強化金融穩定的一大助力。
駭客攻擊手法日趨精進
資安對金融穩定和社會安定影響甚鉅。以2007年愛沙尼亞網路戰爭為例,當時愛沙尼亞政府準備移走蘇聯時代的紀念銅像,卻引起駭客攻擊國會、政府部門、銀行、媒體等網站,導致民眾因ATM無法領錢,四處搶劫、暴動,影響社會安定。
據悉駭客採用分散式阻絕服務(DDoS)的攻擊手法,利用多台機器同時攻擊,以產生極大的網路流量,癱瘓攻擊目標。這次事件被軍事專家視為第一場國家層級的網路戰爭。事發後,北約7個成員國於2009年簽署協定,共同出資建立反網路攻擊研究中心,資安聯防觀念逐漸成形。
2022年2月24日,俄烏戰爭開戰。3天後,俄羅斯網軍大隊入侵烏克蘭,打算癱瘓烏克蘭的基礎生活設施、金融、媒體及需要資通訊科技的其他服務。烏克蘭官員向全球首富馬斯克(Elon Musk)求救,馬斯克出動「星鏈衛星」神救援,供應烏國網路服務,凸顯出資安韌性的重要性。
事實上,不論是人為疏失或不當使用資通訊科技,都可能摧毀金融體系。2017年3月,G20財長與央行總裁會議宣言中就特別提出,惡意的使用資通訊科技,可能癱瘓掉一國或國際金融體系,破壞金融的安全與民眾的信任,並危及金融穩定。
然而,在駭客攻擊手法越來越精進、網路攻防越來越激烈下,金融機構只能力求降低風險,恐無法百分百防止零時差攻擊、保證供應鏈資安無虞及減輕人為設定疏失。
儘管入侵之事無法完全避免,但金融業者可建立防禦思維,包括以個案看通案,累積經驗,強化應變及防禦能力;做好資產盤點、風險評估,部署有效防禦;具備多重有效的偵測,執行搶、修、救作業;萬一發生資安事件,盡量縮小影響範圍,有效應變,快速恢復營運。
金融業容易被盯上
金融業手上掌握的資料特別值錢,因此金融業容易被國際駭客盯上,如果防禦力不夠,損失將相當慘重。
從新聞事件中可以看到,2016年國內第一銀行爆發大規模ATM盜領案件。當時,駭客滲透第一銀行內網,利用惡意程式遠端遙控台北、台中22家第一銀行分行內41台ATM自動吐鈔,轟動全台。經調查發現,第一銀行倫敦分行內鎖在鐵櫃中的電話錄音伺服器主機,竟成為駭客遠端遙控ATM大吐鈔的跳板。
2017年,駭客入侵遠東銀行內網後,先設法刪除7個防毒程序,執行勒索軟體,加密部分電腦中的檔案,隱匿入侵盜轉匯款痕跡,也故布疑陣,讓遠銀誤以為只是系統遭植入加密勒索軟體。駭客取得最高帳號權限,利用SWIFT跨國匯款系統,盜轉新台幣18億元,這是全球第7起相同事件。
同年開春,爆發台灣史上首次券商集體遭DDos攻擊勒索事件。13家券商收到英文勒索信件,要求支付7到10個比特幣(市值約新台幣27到30萬元)。勒索信宣稱,若券商不付款,將發動更大規模、甚至達Tb級的DDoS攻擊。自此,金融業與證券業開始陸續導入防堵DDoS攻擊的機制。
2021年,假冒銀行的釣魚簡訊詐騙事件頻傳,包括假國泰世華、假台新銀行的釣魚簡訊,造成30多位民眾上當受害,損失金額超過新台幣500萬元。同年,國內券商遭到駭客以常見的「密碼撞庫」攻擊手法,冒名客戶下單買港股的資安事件,其中以元大證券的災情最嚴重,引發各界關注。
2022年8月初,台灣接連發生官方網站遭到攻擊,以及統一商超和台鐵電子看板被置入恐嚇訊息等資安事故。駭客組織APT27聲稱掌握連網設備的數量有20萬台,並打算公布部分資訊系統的零時差漏洞,以及竊得的政府資料。
看到駭客攻擊的手法日新月異,金管會希望金融機構務必要強化資安防禦機制,以維護客戶對金融機構的信賴。
建立金融資安聯防體系
而不少金融機構反應,過往,金融領域資安防護的痛點是風險高、威脅多、溝通少、人才缺。因國際駭客通常是組織型駭客,持續攻擊並勒索金融產業,但金融機構的資安防護各自獨立,彼此缺少訊息溝通管道,加上金融資安專業人才短缺,形成巨大挑戰,也凸顯了建立金融資安聯防體系的重要性。
2017年12月,金管會成立金融資安資訊分享與分析中心(Financial Information Sharing and Analysis Center,簡稱F-ISAC),提供金融資安情資預警及聯防機制,以提升金融產業整體資安治理能力,強化金融資安聯防體系,穩定金融市場秩序。
金管會更參考美國FS-ISAC會員組成的作法,建立F-ISAC資安防護網,參與會員包含主管機關、金融控股、國內外銀行及票券業、證券期貨業、產險與壽險業、金融產業公會、電子支付與票證廠商、信用卡公司、地方金融機構、金融週邊單位等。
「我國F-ISAC資安防護網與美國最大差異在於:納入主管機關的角色。」金管會提到,F-ISAC情資來源,初期由行政院成立的國家資安資訊分享與分析中心(N-ISAC),以及微軟、趨勢科技等資安合作夥伴提供;中期加入SWIFT-ISAC、FS-ISAC等國際金融ISAC提供情資,後期再由我國F-ISAC會員提供與分享情資。
2019年,台股大盤指數突破11,000點,駭客趁機發動DDoS攻擊,癱瘓多家券商網站。F-ISAC與台灣證券交易所密切合作,除了F-ISAC在第一時間發布警訊提供預警,證交所也將F-ISAC警訊同步通知各證券公司資訊主管,縮短駭客攻擊時間,降低損失。我國F-ISAC亦將駭客攻擊IP等情資分享給日本F-ISAC及韓國金融資安機構,共同打擊殭屍網路,達成國內與國際資安聯防。
金融資安聯防體系有三大重點,第一是事前預警防護,透過金融資安情資分析與分享,供會員提前掌握資安威脅,提升資安事件的掌握度,即時反應,降低事件風險。第二是事中監控應變,F-ISAC成立金融資安聯防監控中心(F-SOC),負責蒐集、彙整與綜合分析各金融機構回傳的事件資訊,交叉分析其遭受的資安威脅,提供會員進行聯防偵測與防護。第三是事後災變回復,偕同資安專業廠商組成金融緊急應變小組,協助會員資安事件應處。
截至2022年12月31日,F-ISAC的國內外資安威脅情資共計蒐整1,856則,研析後發布資安情資531則。其中,由會員分享情資占比64%,顯示金融機構勇於分享情資給F-ISAC,再由F-ISAC分析與彙整後提供給所有會員。「從單向情資分享變成雙向互動與信任,這在金融資安聯防上是值得肯定的成效。」
擴大辦理資安攻防演練
「金融資安行動方案1.0」自2020年8月推動,至2022年的主要KPI均已達標(86%),包括設置資安長、導入國際資安標準、辦理資安攻防演練與競賽、建立金融資安事件應變體系等。
金管會滾動檢討,於2022年12月開始推動「金融資安行動方案2.0」,精進措施,例如擴大資安長設置,定期召開資安長聯繫會議,同業間也應強化供應商的資安韌性,共同提升資安聯防效能。因應員工、客戶、第三方服務商等居家或異地辦公,由銀行公會增修訂自律規範;ChatGPT、DeepFake等新興科技技術可能引發新型態的資安風險,金融機構則應建立更嚴謹的防護機制。
零信任已從概念探討階段進入實務部署規劃。世界重要國家的政府紛紛建立國家零信任網路安全戰略,譬如美國具體規劃2024年前聯邦網路完成初步遷移。金管會也鼓勵金融機構導入零信任思維,強化連線驗證與授權管控。
2019年起,行政院辦理跨國金融資安攻防演練,模擬駭客攻擊,找出金融機構資安弱點,並檢視金融機構的防禦機制是否完善。今年,金管會將擴大舉辦DDoS攻擊或紅藍軍對抗等演練,與專業訓練機構合辦資安技術認證課程,培訓金融資安人才,增進金融機構資安防禦與實戰能量。
總而言之,資安韌性與金融穩定密不可分,金融機構應攜手合作,讓資安韌性成為強化金融穩定的助力,以達到安全、便利、不中斷金融服務的願景。
探索更多精彩內容,請持續關注《台灣銀行家》雜誌
https://taiwanbanker.tabf.org.tw/index
本文為作者評論意見並授權刊登,不代表TVBS立場。
增進實戰能量 金管會今年擴大演練 資安韌性應成強化金融穩定助力
為提升金融機構資安防護能量,金管會鼓勵業者重視資安人才培育與配置、辦理資安攻防演練。資安韌性與金融穩定密不可分,資安韌性應成為強化金融穩定助力,達到安全、便利、不中斷金融服務願景。
近年來,隨著金融業發展金融科技、數位轉型,資安韌性更顯重要。2020年,金管會發布「金融資安行動方案1.0」,協助金融機構執行資安防護,期使民眾在更安全、更便利的環境下,使用不中斷的金融服務。進入後疫情時代,考量國內外資安情勢變化及實務運作情形,並參考國際資安監理政策,金管會滾動檢討,於2022年底發布「金融資安行動方案2.0」,持續強化金融業的資安戰力。
金管會表示,為持續提升金融機構資安防護能量,金管會鼓勵業者重視資安人才培育與配置、辦理資安攻防演練,同時也督導建置金融資安資訊分享與分析中心(F-ISAC),持續加強情資分析的深度與廣度,與金融業者攜手建立資安聯防體系,讓資安韌性成為強化金融穩定的一大助力。
駭客攻擊手法日趨精進
資安對金融穩定和社會安定影響甚鉅。以2007年愛沙尼亞網路戰爭為例,當時愛沙尼亞政府準備移走蘇聯時代的紀念銅像,卻引起駭客攻擊國會、政府部門、銀行、媒體等網站,導致民眾因ATM無法領錢,四處搶劫、暴動,影響社會安定。
據悉駭客採用分散式阻絕服務(DDoS)的攻擊手法,利用多台機器同時攻擊,以產生極大的網路流量,癱瘓攻擊目標。這次事件被軍事專家視為第一場國家層級的網路戰爭。事發後,北約7個成員國於2009年簽署協定,共同出資建立反網路攻擊研究中心,資安聯防觀念逐漸成形。
2022年2月24日,俄烏戰爭開戰。3天後,俄羅斯網軍大隊入侵烏克蘭,打算癱瘓烏克蘭的基礎生活設施、金融、媒體及需要資通訊科技的其他服務。烏克蘭官員向全球首富馬斯克(Elon Musk)求救,馬斯克出動「星鏈衛星」神救援,供應烏國網路服務,凸顯出資安韌性的重要性。
事實上,不論是人為疏失或不當使用資通訊科技,都可能摧毀金融體系。2017年3月,G20財長與央行總裁會議宣言中就特別提出,惡意的使用資通訊科技,可能癱瘓掉一國或國際金融體系,破壞金融的安全與民眾的信任,並危及金融穩定。
然而,在駭客攻擊手法越來越精進、網路攻防越來越激烈下,金融機構只能力求降低風險,恐無法百分百防止零時差攻擊、保證供應鏈資安無虞及減輕人為設定疏失。
金融業容易被盯上
金融業手上掌握的資料特別值錢,因此金融業容易被國際駭客盯上,如果防禦力不夠,損失將相當慘重。
從新聞事件中可以看到,2016年國內第一銀行爆發大規模ATM盜領案件。當時,駭客滲透第一銀行內網,利用惡意程式遠端遙控台北、台中22家第一銀行分行內41台ATM自動吐鈔,轟動全台。經調查發現,第一銀行倫敦分行內鎖在鐵櫃中的電話錄音伺服器主機,竟成為駭客遠端遙控ATM大吐鈔的跳板。
2017年,駭客入侵遠東銀行內網後,先設法刪除7個防毒程序,執行勒索軟體,加密部分電腦中的檔案,隱匿入侵盜轉匯款痕跡,也故布疑陣,讓遠銀誤以為只是系統遭植入加密勒索軟體。駭客取得最高帳號權限,利用SWIFT跨國匯款系統,盜轉新台幣18億元,這是全球第7起相同事件。
2021年,假冒銀行的釣魚簡訊詐騙事件頻傳,包括假國泰世華、假台新銀行的釣魚簡訊,造成30多位民眾上當受害,損失金額超過新台幣500萬元。同年,國內券商遭到駭客以常見的「密碼撞庫」攻擊手法,冒名客戶下單買港股的資安事件,其中以元大證券的災情最嚴重,引發各界關注。
2022年8月初,台灣接連發生官方網站遭到攻擊,以及統一商超和台鐵電子看板被置入恐嚇訊息等資安事故。駭客組織APT27聲稱掌握連網設備的數量有20萬台,並打算公布部分資訊系統的零時差漏洞,以及竊得的政府資料。
看到駭客攻擊的手法日新月異,金管會希望金融機構務必要強化資安防禦機制,以維護客戶對金融機構的信賴。
建立金融資安聯防體系
而不少金融機構反應,過往,金融領域資安防護的痛點是風險高、威脅多、溝通少、人才缺。因國際駭客通常是組織型駭客,持續攻擊並勒索金融產業,但金融機構的資安防護各自獨立,彼此缺少訊息溝通管道,加上金融資安專業人才短缺,形成巨大挑戰,也凸顯了建立金融資安聯防體系的重要性。
2017年12月,金管會成立金融資安資訊分享與分析中心(Financial Information Sharing and Analysis Center,簡稱F-ISAC),提供金融資安情資預警及聯防機制,以提升金融產業整體資安治理能力,強化金融資安聯防體系,穩定金融市場秩序。
金管會更參考美國FS-ISAC會員組成的作法,建立F-ISAC資安防護網,參與會員包含主管機關、金融控股、國內外銀行及票券業、證券期貨業、產險與壽險業、金融產業公會、電子支付與票證廠商、信用卡公司、地方金融機構、金融週邊單位等。
「我國F-ISAC資安防護網與美國最大差異在於:納入主管機關的角色。」金管會提到,F-ISAC情資來源,初期由行政院成立的國家資安資訊分享與分析中心(N-ISAC),以及微軟、趨勢科技等資安合作夥伴提供;中期加入SWIFT-ISAC、FS-ISAC等國際金融ISAC提供情資,後期再由我國F-ISAC會員提供與分享情資。
2019年,台股大盤指數突破11,000點,駭客趁機發動DDoS攻擊,癱瘓多家券商網站。F-ISAC與台灣證券交易所密切合作,除了F-ISAC在第一時間發布警訊提供預警,證交所也將F-ISAC警訊同步通知各證券公司資訊主管,縮短駭客攻擊時間,降低損失。我國F-ISAC亦將駭客攻擊IP等情資分享給日本F-ISAC及韓國金融資安機構,共同打擊殭屍網路,達成國內與國際資安聯防。
金融資安聯防體系有三大重點,第一是事前預警防護,透過金融資安情資分析與分享,供會員提前掌握資安威脅,提升資安事件的掌握度,即時反應,降低事件風險。第二是事中監控應變,F-ISAC成立金融資安聯防監控中心(F-SOC),負責蒐集、彙整與綜合分析各金融機構回傳的事件資訊,交叉分析其遭受的資安威脅,提供會員進行聯防偵測與防護。第三是事後災變回復,偕同資安專業廠商組成金融緊急應變小組,協助會員資安事件應處。
截至2022年12月31日,F-ISAC的國內外資安威脅情資共計蒐整1,856則,研析後發布資安情資531則。其中,由會員分享情資占比64%,顯示金融機構勇於分享情資給F-ISAC,再由F-ISAC分析與彙整後提供給所有會員。「從單向情資分享變成雙向互動與信任,這在金融資安聯防上是值得肯定的成效。」
擴大辦理資安攻防演練
「金融資安行動方案1.0」自2020年8月推動,至2022年的主要KPI均已達標(86%),包括設置資安長、導入國際資安標準、辦理資安攻防演練與競賽、建立金融資安事件應變體系等。
金管會滾動檢討,於2022年12月開始推動「金融資安行動方案2.0」,精進措施,例如擴大資安長設置,定期召開資安長聯繫會議,同業間也應強化供應商的資安韌性,共同提升資安聯防效能。因應員工、客戶、第三方服務商等居家或異地辦公,由銀行公會增修訂自律規範;ChatGPT、DeepFake等新興科技技術可能引發新型態的資安風險,金融機構則應建立更嚴謹的防護機制。
零信任已從概念探討階段進入實務部署規劃。世界重要國家的政府紛紛建立國家零信任網路安全戰略,譬如美國具體規劃2024年前聯邦網路完成初步遷移。金管會也鼓勵金融機構導入零信任思維,強化連線驗證與授權管控。
2019年起,行政院辦理跨國金融資安攻防演練,模擬駭客攻擊,找出金融機構資安弱點,並檢視金融機構的防禦機制是否完善。今年,金管會將擴大舉辦DDoS攻擊或紅藍軍對抗等演練,與專業訓練機構合辦資安技術認證課程,培訓金融資安人才,增進金融機構資安防禦與實戰能量。
總而言之,資安韌性與金融穩定密不可分,金融機構應攜手合作,讓資安韌性成為強化金融穩定的助力,以達到安全、便利、不中斷金融服務的願景。
探索更多精彩內容,請持續關注《台灣銀行家》雜誌
https://taiwanbanker.tabf.org.tw/index
本文為作者評論意見並授權刊登,不代表TVBS立場。
Blueseeds天然初萃精油
◤EF海外遊留學專家◢
