由金管會成立的「金融機構資安資訊分享與分析中心」(Financial Information Sharing and Analysis Centers,F-ISAC)將於明(22)日正式上路,包含銀行、證券、期貨和保險等業者都將強制納入聯防體系,打造金融產業的資安分享平台。而這也是台灣第一個官方的金融資安專責單位。
什麼是F-ISAC?
今年國內年資安事件頻傳,2月,台灣多家券商集體遭駭客以DDoS攻擊,並遭勒索市值31萬元的比特幣;10月又發生遠銀國際電匯系統(SWIFT)遭駭事件;金管會主委顧立雄也指出,當金融服務從實體移到線上,全天候、無疆界的服務特性提高金融機構受到外部攻擊的可能性。為此,金管會也不得不加快資安體系建置腳步,已經喊了一年半的金融資安聯防體系F-ISAC,終於趕在今年完成。
F-ISAC提供金融業者資安預警訊息,讓業者可提前採取防護措施,也強化整體金融網路安全。包含銀行、證券、期貨和保險等業者,都會強制納入F-ISAC。
金管會資訊服務處處長蔡福隆表示,F-ISAC由金管會提供經費、首年預算約編列3,700萬元,並委由財金公司營運,地點將設於財金公司的南港軟體園區辦公室。目前規劃會員首年免費,但政府經費有限,未來也不排除和美國與日本相同,改為使用者付費的模式。
資安事件前中後期皆可提供協助
不過若遠銀事件重演,F-ISAC如何幫助金融業者、縮小災情?
蔡福隆指出,在資安事件發生前,F-ISAC會搜集相關金融資安情資(包含漏洞、駭客攻擊手法和攻擊位置等),並提供給金融機構以加強預警和防範,而若有金融機構已遭入侵,也會通報給F-ISAC、再轉報給其他機構;其次,也會提供人才資安技能培訓,加強金融機構的資安素質和技術能量;至於當機構不幸遭駭客入侵,F-ISAC也會協助進行數位鑑識,還原駭客入侵手法、避免類似事件重演。
為何選財金公司營運,而非資安?
至於為什麼選擇財金公司、而非資安公司營運該中心,蔡福隆表示,一般資安公司涉及相關個別利益,而財金公司並非以資安為盈利項目,而是以收取銀行跨行手續費為主、本來就是跨行的樞紐,較資安公司更「獨立、中立」;蔡福隆也提到,財金公司本身也有很高的資安能量,有專責的安控部門。
事實上,F-ISAC為行政院資安處下資安聯防架構的一環。資安處處長簡宏偉曾表示,年底前會成立各領域的ISAC(資安資訊分享與分析中心),包含交通部、衛福部、科技部、教育部等關鍵基礎設施相關領域,而之後情報可再整合送到國家級N-ISAC和國際資安資訊分享。只不過目前除了F-ISAC即將於明天上路,其他仍在建置階段。
