時序進入年底,金管會27日宣布「金融資安行動方案」2.0版,將以3年為期分階段推動,並於每季檢討資安防護成果。
此方案是延續2020年8月發布的1.0版,當時已經要求國內資產達一定規模的銀行、證券、保險、投信、證交所、櫃買中心、期貨交易所等,共計65家金融業者,在今(2022)年3月底前須強制設立「資安長」(Chief Information Security Officer,CISO),同時鼓勵金融機構內部聘請具資安背景之董事、顧問,或設置資安諮詢小組。
金管會表示,雖然1.0方案執行至今已達到主要績效指標,但考量近期因為新冠肺炎疫情趨動數位轉型、地緣政治風險,以及ATM遭盜領事件屢見不鮮,所以擴大及精進各項推動措施。
針對「金融資安行動方案」2.0版,可整理出5大重點:
1. 擴大資安長設置,以及定期召開資安長聯繫會議
根據金管會,考量「電子交易達一定比例者」,其資安防護對於公司營運的影響甚高,因此一併納入推動設置資安長範圍。就目前情況來看:國內銀行業(包含純網銀、郵局)已經全部設置資安長,券商將從13家調整為20家。保險業的電子交易比例差異較大,因此會再評估檢討,至今已有13家自行設置資安長。至於電子支付機構部分,也將適時納入評估範圍。
此外,未來將定期辦理「資安長聯繫會議」,基本上每半年召開會議一次,要求各資安長針對當前資安情勢、推動策略及關鍵議題等共同研商,並增進金融機構間交流與聯防。
2. 強化數位身分驗證安全性
考量金融機構因應疫情加速數位轉型的腳步,對數位金融服務的倚賴加深,傳統金融服務場景也由金融機構擴展至「金融生態圈」。有鑑於此,金管會規劃參考數位身分驗證等級國際標準(ISO 29115)架構,將網路身分驗證(eKYC)依登錄、信物管理及驗證等階段運作機制,區分信賴等級。
簡單來說,將加強民眾使用金融服務時的身分識別、驗證,防止身分盜竊。
3. 深化核心資料保全
為了因應重大資安事件、天然災害等風險,將研議重要金融機構強化重要核心資料保全機制。包含核心資料檔案、資料庫加密與分持,儲存在第三地或雲端備份等機制,以此強化備份及復原機制,提升數位韌性。
4. 鼓勵零信任網路部署
「零信任」(zero trust)是一種資安防護策略。基於「永不信任,持續驗證」的理念,其針對所有資料存取皆透過身分鑑別、設備鑑別及信任推斷等驗證程序,再予以放行。此方法有助於確認任何來源的存取資料,皆保證一致安全性。
在「金融資安行動方案」2.0版當中,金管會鼓勵金融機構採取零信任網路部署,以因應後疫情時代、數位轉型下的資安防護需求。
5. 規劃資安攻防演練
為了強化金融機構處理資安事件的能力,金管會將持續辦理分散式阻斷服務攻擊(DDoS)攻防演練、網路實兵攻防演練、網路攻防競賽及重大資安事件情境演練。
同時,也規劃建立重大資安事件虛擬指揮及應變體系,結合重大資安事件演練,併同驗證資安事件督導指揮、跨機構協調聯繫及支援應處能量等運作機制。
責任編輯:林美欣
