【臺灣資安大會直擊】金融資安行動方案推動2年,金管會提出4大防護要點,並透露下個推動重點聚焦零信任與身分驗證框架
金管會副主委邱淑貞在CYBERSEC 2022臺灣資安大會金融安全論壇致詞。
自兩年前,金融監督管理委員會(簡稱金管會)推出金融資安行動方案,讓原本就受高度監管的金融機關,能隨著威脅、技術的變化與發展,持續強化精進資安,並作為各金融機構檢討資安策略、管理制度及防護技術等遵循的指引,特別的是,在最近一年內,國內的資安推動上還有重大發展,因為金融監督管理委員會正式將資安觀念與提升,從金融業擴大到上市櫃公司,金管會副主委邱淑貞昨日(22日)於2022臺灣資安大會金融安全論壇致詞時表示,未來更期望的是,不論是否為上市櫃公司,隨著大家對資安的重視,以及總體資安的提升,讓大家能夠有資安才有業務,有業務才能持續成長,金融客戶也能得到更多保護。
同時,金管會資訊服務處處長林裕泰也出席論壇,不僅揭露金融資安行動方案推動兩來年的成果,也透露金管會日後規畫的考量重點,其中網路安全零信任戰略,以及金融身分驗證框架級標準的建構,將是兩大重點。
業務所及之處,資安都得跟上,帶動整體產業資安提升將有助於金融資安的防護
對於金融科技未來的發展,在金融資安行動方案持續推動的同時,金管會副主委邱淑貞表示,在過去一兩年內,包括最近的地震、前陣子的停電,以及疫情讓企業的整個業務發展,大幅發展到非面對面的型態,所有金融機構的前中後臺也大幅改變,以及居家上班、異地辦公都讓資安也跟著重新布局考慮,不過,在這些真實而非演習的試煉之下,讓我們必須提升資安,因此金融業的資安加強了,面對未來各種環境上的變化,整體韌性的能力也又加強。
而這些真實的試煉,也期望從金融業帶到各行各業,是整個資安體系提升很大的契機。不過,她也特別點出4個要點,盼金融業能多加重視。
首先,是業務到哪裡,資安到哪裡。這裡強調的是,隨著業務型態的發展,金融機構對資料的管理政策,同樣要嚴謹覆蓋。
她表示,金融業是一個高度使用資訊數位化的產業,沒有電腦如何查詢客戶的存款,加上現在大量App應用、雲端分析之下,客戶資料的保護都會是重要課題。而且去年,金管會開啟了金融業跨金融機構共同使用客戶資料的大門,並提供相關指引,但共同合作的金融機構,要如何保護客戶資料,將是金融業者與資安長必須去了解的。
第二,對客戶身分認證機制,要有防護能力。對金融機構來說,雙因素認證要是基本防護,如果身分驗證不嚴謹,後面的交易是否為本人就不清楚,這是很大的風險,就像是近年釣魚網站威脅持續嚴峻,金融機構除了要告訴客戶如何使用服務,對於防護這些身分被竊取的偵測,也要逐步加強,才能保護客戶。這也是因為近年證券業遭受到撞庫攻擊的威脅。
第三,對於偵測監測事件發生,到恢復正常營運,這樣的基本功,需要逐步加強。過往企業資安資源上的配置,集中在事件發生前,現在慢慢配置到事前的偵測,事中的監控,需視資安能力與技術發展,調整資源配置。
最後,就是公私協力,各行各業一起提升,整個資安聯防才會真的有效。
邱淑貞強調,金融機構除了自身的資安防護,同時也會有賴於許多產業,不論是與財金資訊的連線,財金資訊也要做好安全,還需要足夠的備援電力,以及電信業協助清洗DDoS攻擊流量,還有系統開發維護的合作委外廠商,以及跨業行銷的合作機構,因此,需要共同將資安水準提高,才會維持整體的資訊安全。
零信任、金融身分驗證有望成日後推動重點方向
對於金融資安行動方案的發展,金管會資訊服務處處長林裕泰表示,兩年前已提出八大重點推動項目,如今有了不少成果,他並透露金管會了當前關注的重點議題,也就是未來所需的新推動方向,或是需要加速應對的威脅風險。
當中有哪些是新的重點?舉例來說,在強化新興科技的資安防護面向上,除了要陸續增修訂新興金融科技資安自律規範,包括App、雲端服務、開放銀行、網路身分驗證,供應鏈風險評估,同時,他們也在持續關注攻擊樣態與事件,包括Deepfake、IoT安全等,將考量納入資安資訊規範。同時,林裕泰引用了來說明,除了普遍關注的資安威脅,也要注意新進的熱門威脅,像是以第三方為跳板的攻擊,以及在客戶端發生的資安事件,他認為,這也是與近兩年威脅現況改變有關。
更受關注的是,林裕泰特別提到了兩個推動重點,一是零信任戰略,一是金融身分驗證。
就前者而言,兩年前,零信任戰略有在關注、但不明確,近年來,不僅歐盟、美國當成網路防護的戰略,在國內,行政院也將開始推動A級機關導入,因此,現在看來時勢已到,金管會也希望未來藉由政策推動,讓此方面的進展能往前跨進一步;就後者而言,身分驗證在金融業運用廣泛,只是過去並沒有統一的驗證標準,隨著現今在不同業務有很多運用方式與變形,因此金管會正在與銀行公會討論,建立多元金融身分驗證框架級標準,希望不只是金融業用上,其他產業也能用得上。要如何進行?目前以國際標準ISO 29115的數位身分驗證等級為參照。
在強化資安演練廣度與深度方面,今年最近動向是,預計將新辦理重大資安事件桌面演練,而就目前規畫來看,不會僅止於紙上談兵,將會安排複合式的情境,考驗演練者在短時間內能否最好反應,包括做什麼事情、調度什麼樣的資源,以事件擴大時面對公關媒體的反應。
此外,其餘多項演練計畫也會持續進行,包括連續多年進行的DDoS攻擊演練,而網路攻防演訓今年規模亦擴大,採聯隊方式進行,讓更多金融機構可以共同參與,強化基本應變能力;今年還有一項新嘗試,是入侵與攻擊模擬演練,差異是參考鎖定金融業攻擊的APT組織手法製作演練劇本,其實已有金融機構會自己進行這樣的演練,但金管會也藉由這樣的推動,要讓更多業者參與。
推薦台中搬家公司優質服務,可到府估價
台中搬鋼琴,台中金庫搬運,中部廢棄物處理,南投縣搬家公司,好幫手搬家,西屯區搬家
產品缺大量曝光嗎?你需要的是一流包裝設計
窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。
太陽光電發電設備是否會產生噪音?
找對廠商很重要喔,東陽能源是擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。
網頁設計最專業,超強功能平台可客製化
窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。
想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整
節能減碳愛地球是景泰電動車的理念,是創立景泰電動車行的初衷,滿意態度更是服務客戶的最高品質,我們的成長來自於你的推薦。
好山好水露營車漫遊體驗
露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製
台中搬家遵守搬運三大原則,讓您的家具不再被破壞!
台中搬家公司推薦超過30年經驗,首選台中大展搬家
Google地圖已可更新顯示潭子電動車充電站設置地點!!
日本、大陸,發現這些先進的國家已經早就讓電動車優先上路,而且先進國家空氣品質相當好,電動車節能減碳可以減少空污
回頭車貨運收費標準
宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念
推薦評價好的iphone維修中心
擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢
需重視第三方供應商風險監控,並鼓勵金融機構取得國際持續營運管理標準ISO 22301
在落實災害應變復原運作機制方面,林裕泰提到一個新面向,主要是參考歐盟今年5月發布數位營運韌性法案(Digital Operational Resilience Act,DORA),當中強調隨著整個數位轉型或是金融發展樣態發展,特別需要注意第三方供應商風險監控,因此,林裕泰強調,整個韌性的模擬演練,未來也必須要把供應商放到整體金融服務環境裡面來考量。
此外,自2020到2022年來以來,金管會推動金融資安治理成熟度評估,從銀行業、保險業推動到證券業,除了希望金融業瞭解,最基礎的成熟度層級只是最基本的要求,更期待的是,有業者能帶頭拉高成熟度等級,促進彼此激勵。不過,雖然成熟度評估是很好的方式,但要證明資安做得有效,取得國際標準還是有效溝通方式,較特別的是,他們現在鼓勵金融機構,可以去取得國際持續營運管理標準ISO 22301,根據金管會在2022年6月統計,其實目前國內已有不少業者採取行動,包括10家銀行業、5家證券業與5家保險業,已經通過驗證。
至於ISO 27001驗證的要求,已經算是基本,目前金融業者通過數量已經算是相當多,計有32家銀行業、38家保險業,以及25家證券業。
無論如何,今年金管會在推動金融機構強化資安上,看起來已經逐漸做到先求有再求好的階段,之後將更進一步建立有效共通基準,促進好還要更好。
隨著2020年8月金融資安行動方案推動以來,當時已公布將聚焦於8大重點:包括:(一)結合監理工具提供鼓勵誘因,(二)行速金融機構重視資安的組織文化,(三)強化新興科技的資安防護,(四)系統化培育金融資安專業人才,(五)以戰代訓-強化資安演練廣度與深度,(六)金融資安聯防 F-ISAC/F-SOC,(七)建構資源共享的資安應變機制,(八)落實災害應變復原運作機制。如今兩年施行下來,已有多項成果。
金管會資訊服務處處長林裕泰表示,在強化新興科技的資安防護面向,近來他們正關注兩大推動重點,零信任戰略是其一,前兩年此方面尚覺得虛無飄渺,但如今國際間已有美國、歐盟等國家政府推動規畫,因此就現在時間點來看已經可行,未來也希望藉由政策的推動,來推進這方面的發展。
在零信任之外,金管會日後另一重點是要推動多元金融身分驗證框架及標準,畢竟現今金融業的身分驗正在不同業務上,有很多運用方式甚至變形的運用,因此金管會與銀行公會正持續討論,參照國際標準ISO 29115,建立多元這方面的框架,希望不只是金融業能用,跨產業也能運用。
已有73家金融業設副總級資安長,加入F-SOC成員至今年9月已有40家
若以最近一年的推動成果來看,在型塑金融機構重視資安的組織文化方面,如今成果顯著。例如,之前要求金控設副總層級資安長,後續擴大所以本國銀行、純網銀,以及一定規模的保險與證券期貨都要,目的就是讓資安長能夠由上而下調動各種資源,來支持組織資安的發展,目前的成果,計有40家銀行、11家保險公司,以及22家券商設置副總層級資安長:另外,鼓勵金融業遴聘具資安背景的董事、顧問,或設置資安諮詢小組,也有相當多金融業行動,目前也已有58家金融機構這麼做。
不僅如此,要求設置資安長、資安主管與專責單位的要求,今年也已經從金融機關,擴大到上市櫃公司,將要求不同級別公司,逐步在三年內實施。林裕泰指出,在祭出這項法令後,民間也因此出現了資安主管聯盟、資安長聯誼會等,促進跨業資安長交流是金管會所樂見,也希望讓金融業資安長可以有更深化的交流,以及討論金融資安政策。
此外,在資安聯防F-ISAC/F-SOC方面,隨著F-ISAC會員早已逼近400家,過去大家可能擔心,加入會員只是單方面接收情資,聯防效果不明顯,然而,現在其實已有許多會員分享,例如,在今年1到8月間,就有90則是來自會員的分享,情資類型包含:釣魚郵件情資、偽冒我國金融機構寄送釣魚情資、偽冒我國金融機構網站或App、可疑IP位址、勒索軟體、大量異常連線、疑是資料外洩、國際事件情、漏洞情資,各類型情資現在也都有會有來自會員的分享。
而且,為了促進會員分享,今年建構情資管理分析的平臺,並隨著7月發布的情資分享辦法出爐,從雜湊值、IP位址、網域名稱、網路/主機產物(HTTP Header或Mail Header分析資訊、攻擊者於主機留下特定字串或值),一直到攻擊工具,以及攻擊手法TTP,定義出情資影響力,期望提升情資分享動能,也讓會員分享速度可以更提升。
另外,在F-ISAC下所建置的二線F-SOC,至2022年9月為止,已有40家金融機構加入。而且,近年也在嘗試將MITRE ATT&CK技術手法,與資安部署上可偵測到的面向去做對照,也就是將攻擊手法與可監控設備對應,目的是希望讓SOC能有效運作,因為很多惡意行為沒被偵測,很可能是資安設備沒有做到正確的偵測,或是資安事件分析的平臺沒有適當的規則而導致,透過對照表將能更快找出應該調整的部分。
為了讓資安聯防達到更好效果,最近一年多來,在F-ISAC的規畫下,也嘗試將MITRE ATT&CK技術手法對應到可監控設備,其目的是希望讓SOC能夠更有效去運作。
https://www.ithome.com.tw/news/153223
