今年6月開始,駭客利用檔案傳輸系統MOVEit Transfer零時差漏洞,入侵如國際知名銀行、企業及政府組織等,導致多家資料外洩。公股銀分析,未來供應鏈安全將是一大挑戰,MOVEit Transfer即是軟體供應鏈問題,除商用軟體恐有重大漏洞外,開源軟體亦然,公股銀將持續針對這些風險,建構相關防護機制及規範,以應因未來風險趨勢。
公股銀強調,銀行面對數位轉型,積極應用如雲端服務、Open API及容器化等新興科技,提升金融服務效率,也要針對這些新技術衍生的資安控管問題,強化機制。另外,近期全球資通安全趨勢是攻擊增加,必須強化防範及預防網路攻擊。其中以零信任為核心的安全架構,將成未來趨勢之一。
傳統網路安全模式通常是設置防禦設備或控管機制,但已無法應對現今多樣的網路攻擊。零信任網路架構是打破傳統內外網路的邊界,認為企業和組織不應該直接信任內網的設備,每次的存取都要對人員、設備和應用服務呼叫驗證,確保安全訪問和敏感資料不會外洩,不僅可以提高安全性,也可以簡化企業和組織的網路架構和管理。
另一方面,為強化資安人員提升專業技術,因應日新月異的駭客手法,各銀行積極鼓勵員工精益求精,參加各專業機構舉辦的資安課程,也在升遷管道上絞盡腦汁,讓優秀資安人才留在銀行裡。
最基本的是針對各種資訊專業證照,訂定升遷加分措施,提高升遷機會,補助相關考照費用,鼓勵員工考取證照。在升遷上面,則是積極訂立出「綠色通道」,打造不同於一般行員的升遷管道,讓更多資訊人員提高升遷錄取率,「可看到升遷的未來」,更能達到激勵員工士氣的作用。
其中合庫銀行推出「專設資訊人員升遷管道」;華南銀行去年12月針對資訊管理群資訊人才專屬的個人職等升遷制度;彰化銀行對於資訊人員的升等,特別設立「資訊人員」類組,加重「資訊專業」科目計分。