金融機構不只要抗疫 更要防堵資安威脅

　自新冠肺炎疫情肆虐全球以來，遠距工作或居家上班（WFH）成為許多行業的新常態，卻也給予網路駭客可乘之機。國際清算銀行（BIS）的研究指出，以美國為例，去年3～6月各行各業在家上班多寡與網路攻擊事件頻率間存在正向關係，其中以科技產業為最，金融業位居第二。再就與新冠肺炎疫情相關的網路攻擊事件來說，截止去年9月初，各行業中除了健康及相關的製造業外，以金融保險的件數最多，占比達25.3％，顯見疫情令金融業乃至於整個金融體系承受極高的資安風險。

事實上，網路駭客攻擊金融業不是新鮮事。近年來隨著金融科技不斷創新與行動裝置的普及，金融業所提供的金融服務日益依賴應用程式介面（API）及與核心資訊系統橋接的科技，進而使大量敏感性個人資料與交易資訊暴露於不同存取管道，除了增加個人與業務機密資料外洩風險之外，也讓金融體系的資訊系統易遭受駭客攻擊。而且上至一國央行，下至個別銀行、電信業經營的金融系統都難倖免。諸如2016年2月孟加拉央行於美國紐約聯邦準備銀行的帳戶遭駭客入侵，竊走8,100萬美元；同年7月我國第一銀行內網也被入侵，導致ATM遭盜領8,327萬餘元；2017年10月我國遠東銀行用來連線環球銀行間金融電訊網路（SWIFT）系統的電腦遭駭客植入惡意程式，操控SWIFT系統轉帳並分批匯往不同海外銀行，金額約達6,000萬美元；去年10月遠在非洲烏干達的MTN與Airtel電信公司所使用的第三方支付系統也遭駭客入侵，損失不貲。

基此，國際監管機構金融穩定委員會（FSB）認為，由於金融資安事件難以完全避免，故金融行業不僅要做好事前防禦工作，並須具備在事發當時的緊急應變，以及事後的災害復原能力，才能增強網路韌性，降低網路攻擊的營運損失。知名的卡內基國際和平基金會和世界經濟論壇（WEF）更聯手對國際相關組織、各國主管機關及金融機構提出四大建言：

第一，駭客入侵事件有其國際合作的必要性和急迫性。考慮到金融系統在全球已緊密相連，彼此亦相互依賴的現況，以及現今的駭客少是單打獨鬥，而是形成有規模、有計劃地發動攻擊的國際金融犯罪組織，且每次攻擊受影響的對象已非侷限於單一機構等情形，想要僅憑單一國家、金融機構和金融科技公司單打獨鬥，有效預防駭客攻擊威脅的難度加大，使跨國合作有其必要性和急迫性。

第二，導入公司治理，明訂內部各自權責，要求經營管理階層重視，並成立具備獨立資安職能的專責單位。除了跨國合作，各個政府主管機關、金融機構和金融科技公司內部也必須訂出各自權責。例如歐洲銀行監理機關（EBA）所發布的「資通訊科技及安全風險管理指引」，即要求金融機構要將資安職能與一般資訊作業流程相隔離，以確保其獨立性與客觀性，並監控資安政策與措施之落實情形，定期直接向董事會報告，依實際需要不定期提供有關資訊安全及金融機構風險之建議等。

　第三，成立金融資安資訊分享與分析中心（FISAC），推動資安聯防，提升資安防護能量。為了更好地保護金融機構因應駭客入侵等資安事件，各國案例分享與其所採取的行動方案，也甚為重要。例如美國金融服務資訊共用和分析中心（FS-ISAC）與英國資安分享中心（CiSP）即持續蒐集分析國內外金融資安情資，提供金融機構資安預警及強化資安防護建議。我國金管會亦於2017年1月成立類似的金融產業資安分享平台，經此架構，可積極與其他國家資安機構交流合作、擴大情資來源等，有效提升金融體系的資安防護能力。

　第四，金融機構一旦發生資安事件，除了即時向主管機關通報之外，亦可透過FISAC資安分享平台查察有否其他業者遭遇類似的攻擊，並運用他行的相關案例與本身資安事故應變能力做好快速止血處理。至於對無前例可循且較為棘手的案件，則可透過外部專業資安服務團隊協助，即時有效地處理駭客入侵事故，防堵入侵管道，並儘速復原資訊系統至正常狀態。

要言之，由於國際間的網路連結既深且厚，新冠肺炎疫情又強化了金融服務的全面數位化深度，使金融服務提供者（包含傳統金融機構與新興金融科技業者）面對的網路攻擊威脅與日俱增。因此，營造一個良好的金融與服務發展環境，讓相關業者能在激烈競爭的市場環境下，持續安全地提供大眾各項新金融商品服務，實為金融服務提供者的一大挑戰。未來除了政府、中央銀行、監理單位、金融機構和其他相關資安團體應齊心面對網路攻擊外，金融服務提供者亦應自行擴建資安單位與培訓相關人才，以強化資安能力，才能提供優質、安全的金融服務，並藉此建構出自身在數位時代下的企業競爭力。