【BN Promotion】國泰世華銀行營運長章光祖~個資法與APT將是金融業的兩大挑戰
【BN Promotion】國泰世華銀行營運長章光祖~個資法與APT將是金融業的兩大挑戰

「新版個資法與日益猖獗的APT攻擊,可說是金融業今年的內憂外患!」國泰世華銀行營運長章光祖解釋,客戶資料是金融業的資產,以往尚未實施新版個資法前,對於保護個資已不遺餘力;但資料處理很難避免外洩發生,倘若真發生事故,新版個資法很重視業者是否有善盡管理人的責任,也就是到底是否缺乏適當管理才造成憾事。再加上金融業因為握有龐大個人資料,本來就屬於駭客眼中攻擊目標,因此防止資料外洩,變成金融業最關注的資安課題。 

章光祖笑著說,在七十、八十年代時,常可以看到銀行報表被中式早餐業者拿來包油條,這其實就是資料外洩了,但當時個資並未被視為有價值,因此不受重視;隨著資訊系統從封閉式走向開放,網路的興起、雲端計算的運用等,當資料取得更加容易,且駭客更加猖獗,使得保護資料避免外流更刻不容緩。 


上圖為國泰世華銀行營運長章光祖。

保護資料避免外洩****要從企業作業流程做起

「個人資料保護與資訊安全的工作不僅關係到IT部門,還牽涉到其他業務單位,因此不能視為資訊議題,而必須要從企業整體的流程開始檢視。」章光祖認為,保護資料外洩必須要從整體的作業流程著手做起,而不是單靠某一個防毒軟體、應用程式或系統就可以保護,雖然資安業者可提供客製化的產品,但光靠買配備來增強戰力是不夠的,必須從強健體魄做起,先檢視自己目前的身體狀況,再來練身體,當身體練好了,自然就不怕外來的威脅。因此國泰世華在資料防衛戰的作法,首先就是進行ISO 27001:2005資訊安全管理制度(Information Security Management System)的認證,藉由在認證過程當中,檢視企業作業流程,是否有達成「機密性」、「完整性」、「可用性」的資訊安全管理目標。 

當取得ISO 27001資安認證後,國泰世華進一步聘請外部資安顧問團隊針對個資法的規範與資訊系統的因應,作進一步的資安設備投資,優先導入個人資料含量最高的客服中心、存匯系統以及信用卡中心等三大部門。  

資安設備加上資安教育才能打造完善的防護力

「資安防護無法做到100%!」章光祖解釋,資安投資永無止盡,儘管今年花費大量投資預防做到90%的防護,但隨著新科技的興起再加上駭客魔高一丈的侵略行動,事隔兩三年後,現在的資安防禦能力就會迅速下降到五、六成,屆時又將要投資新資安設備來維持防護力。因此,資料保護除了依賴資安設備外,最重要的還是對員工進行資安教育與配合資安政策,尤其是業務單位的配合,假如第一線的業務同仁不配合,則有再好的防護也很容易引狼入室。國泰世華資訊總管理處副理陳慶儒補充,個資安全政策由IT、法務、風險管理與人資部門等籌組的委員會來制訂,訂出那些規範一定得遵守,而哪些資料非執掌同仁不能碰觸,並引進稽核進來擔任內稽,確保徹底執行個資安全政策。舉例來說,業務單位可能會查閱客戶資料,瀏覽資料庫裡的報表等使用行為,但若超過自己權限的使用範圍時,或是異常性重複查詢某些資料時,IT單位就會做Log Control Code來做資料流的控制,把重要資料與異常使用的Log檔留存下來,作一個報表分析提供給主管單位知曉,若真的發生資料外洩,至少也能快速因應與防堵。 

章光祖強調,資安教育訓練是一項成本最低的卻最需要確實做的投資,國泰世華的新鮮人在新人訓練時,都會加強資安課程,此外也在e-learning國泰學習網規劃資安議題課程,透過教育訓練宣導,希望同仁可以確切落實資安政策。  

三階段措施 預防APT攻擊

隨著智慧型手機與平板電腦的使用愈來愈普及,個人裝置BYOD(Bring-Your-Own-Device)盛行,行動資訊安全成為企業另一個重視的資安議題。章光祖表示,目前國泰世華並未限制同仁使用個人裝置,如智慧型手機或平板電腦等,但私人的設備無法連到企業內部網路,也無法讀取公司郵件,確保公司資訊不會透過私人裝置流到外部。此外,除了有業務需要外,基於安全的考量,國泰世華也不開放員工使用社交網絡,以免提供駭客攻擊的跳板。 

章光祖說,去年繼日本Sony遭到駭客APT進階持續性滲透攻擊(Advanced Persistent Threat),造成數百萬客戶資料外洩,因此對於APT議題也相當重視。國泰世華資訊總管理處襄理賴彥廷解釋,APT的防護共分成事前、事中與事後三階段作法。由於在APT的入侵管道中,電子郵件通常是攻擊的最佳點,最常見的方式就是冒名發寄送以假亂真的郵件,並夾帶惡意程式檔,因此當外部郵件有夾帶執行檔或是可疑的文件檔,事前在系統端一律會被過濾機制擋下來。若在事前無法即時攔截下來的惡意程式,則在事中持續監測威脅擋下;若不幸到事後發生入侵時,也能儘速修復漏洞恢復系統穩定。 

「商譽是無價的,也是企業最重要的資產。」章光祖強調,面對個資法的實施,正是企業檢視資訊安全系統的最佳時機。資訊安全保護不只是技術層面,而是經營者的體認以及同仁能否確切遵守資安政策。若是管理者瞭解個資保護與企業營運息息相關時,一定會投資足夠資源與心力做到滴水不漏的資安防護。  

趨勢科技專家觀點

現今企業面對資訊安全主要有兩大層面,其內憂指的是即將上路的新版個資法,企業如何保護客戶個資不外洩;至於外患就是日益猖獗的APT攻擊。APT攻擊之所以難以防範,主要是APT是一種計畫縝密且具有長期目標的攻擊活動,具有低調、持續性、與潛伏期長等特性,因而很容易躲過一般的資安防護。以往的防護方式主要是透過管控邊界網路(Gateway)和用戶端(Client);但這並不足以防止APT所構成的全方位威脅。面對APT,趨勢科技建議,企業首先要評估當前的暴險程度,以及對抗APT攻擊情境與防禦能力;接下來,再提升關鍵安全控管措施與流程藉此強化偵測、矯正與事件應變能力。最後則是主動減少漏洞以縮小攻擊面。

想了解更多APT防護之道>>>

往下滑看下一篇文章
思科:打造智慧轉型韌性基礎的關鍵 人才培育與科技
思科:打造智慧轉型韌性基礎的關鍵 人才培育與科技

人工智慧(AI)正以前所未有的姿態重塑全球政府與企業的數位轉型藍圖,帶來一場深刻的變革。這股浪潮不僅預示著效率與生產力的巨大躍升,同時也為組織帶來嚴峻挑戰。如何駕馭 AI、確保資訊安全、並同時兼顧永續發展,成為當今各國政府與企業亟需面對的核心課題。在這樣一個充滿挑戰與無限機會的時代,全球網路與資安科技大廠思科(Cisco),憑藉其完整的產業生態系和豐富的跨國合作經驗,正積極扮演關鍵的賦能者角色,所推動的台灣數位加速計畫(Taiwan Digital Acceleration, TDA)也已邁入3.0階段。思科認為,值此時刻組織需要為數位轉型建立具韌性的基礎,而關鍵不只是科技,更重要的是人才培育。

AI雖解決人力短缺問題 但人員更需學習駕馭AI

負責思科國家數位加速計畫(CDA),與多國政府密切合作的思科全球資深副總裁暨全球創新長Guy Diedrich,談到當今各國政府與企業正在面臨融合著AI、資安與永續發展的數位轉型趨勢,而在此過程中關鍵的是,組織必須透過科技與培育人才來為此波轉型打造具韌性的基礎。

思科
思科全球資深副總裁暨全球創新長Guy Diedrich
圖/ 思科

Diedrich進一步表示,未來的職位已不再是用職務說明書來衡量,而是以工作流程為核心,人力會在不同階段介接不同科技,可能是AI、機器人、人形機器人甚至量子電腦,因此人力與科技的整合也特別重要。思科台灣總經理林岳田也舉例,過去在地端、雲端網路設備有各自的管理平台,未來除了將化繁為簡整合為單一平台外,許多資料搜集比對的例行工作由AI取代,但關鍵的決策判斷仍會交由人力負責,因此培育員工學習AI也更加不可或缺。

過去從TDA 1.0計畫推動至今,透過思科網路學院(Cisco Networking Academy),思科與合作夥伴已經在台灣培育超過17萬名技術人才。提供從網路工程師認證(CCNA)、網路高級工程師(CCNP)到網路專家(CCIE)等,針對不同職務與層級完整的專業培訓,而去年剛推出針對AI架構的網路設計專家(CCDE-AI Infrastructure)認證,在市場上更是炙手可熱。Diedrich強調,未來學習將成為工作中的一部份,持續在職訓練才能確保人員跟上技術的快速發展。

林岳田也指出,思科致力於人才培育不遺餘力,並從多方面投注資源。包括目前已在台灣的北、南、東部區域成立思科網路學院教師培訓中心,作為推動各區域人才培訓的種子基地。同時,思科與合作夥伴晉泰科技在2025年於高雄成立「亞灣AIOT生態系發展基地暨研發中心」,目標是培育5,000名AIOT人才並協助 1,500 人取得國際認證,以解決目前產業智慧轉型卻求才若渴的窘境。而在政府公部門方面,思科近期與國家資通安全研究院 (簡稱「資安院」) 合作「NPO資安共學計畫」,由思科網路學院 (Cisco Networking Academy) 提供課程與平台資源,資安院負責在地招募與社群經營,共同構築永續的公益資安生態系。

思科
思科台灣總經理林岳田
圖/ 思科

完整生態系整合多元科技 一同推動AI創新

數位轉型另一項重要關鍵就是科技,尤其當今企業都在思考如何利用AI推動創新。思科與18家合作夥伴,從TDA 1.0到3.0計畫,共同實踐30個創新專案。其中TDA 1.0著重智慧城市、企業 5G專網、資訊安全和數位醫療照護等核心領域,奠定數位轉型基礎;TDA 2.0計畫除了延續並深化前述智慧城市與智慧交通,也因應新冠疫情下的醫療照護需求,為長者提供遠距學習、遠距醫療等樂齡生活應用,同時拓展金融韌性等創新場景。而在離岸風電計畫中,更利用5G結合VR眼鏡解決方案,協助當時因為疫情封控而無法來台支援的國外風機維護工程師,進行遠距教育訓練。

而TDA 3.0計畫中聚焦永續發展、資安韌性和AI驅動的智慧轉型,其中指標性專案之一,便是以高雄港為場域的智慧港口解決方案。提供從貨輪進港到貨櫃卸貨、起重機遠端操作監控等全自動化營運,可提升人員工作效率並確保安全。同時此方案中也兼顧永續發展需求,透過感測器可將各種機具設備的碳排資料回傳,完整監控能源使用情形。

人員短缺不只是運輸業也是許多產業共同面臨的難題,思科與合作夥伴針對醫院推出行動醫療推車,就是利用AIOT、無線/有線網路整合結合Webex視訊系統等,能協助遠端醫師迅速掌握病情,在第一時間提供專業判斷,或協助護理師迅速正確完成數據輸入工作。思科全球副總裁黃志明也強調,科技的運用更重要的是化繁為簡,透過整合算力、網路、資安與儲存功能的AI PODs一體機伺服器,讓許多TDA 3.0專案能專注於應用開發,加速落地部署。

黃志明進一步表示,思科能協助企業導入部署各項AI創新方案,得力於生態系中有擅長應用開發、技術架構、顧問諮詢等不同領域的合作夥伴,彼此在開放、包容的平台上運作,因此能協助企業加速智慧轉型並提升企業價值。

思科
思科全球副總裁黃志明
圖/ 思科

登入數位時代會員

開啟專屬自己的主題內容,

每日推播重點文章

閱讀會員專屬文章

請先登入數位時代會員

看更多獨享內容

請先登入數位時代會員

開啟收藏文章功能,

請先登入數位時代會員

開啟訂閱文章分類功能,

請先登入數位時代會員

我還不是會員, 註冊去!
追蹤我們
蘋果能再次偉大?
© 2025 Business Next Media Corp. All Rights Reserved. 本網站內容未經允許,不得轉載。
106 台北市大安區光復南路102號9樓