【臺美論壇】聚焦金融資安聯防
金融業時常面臨勒索軟體與駭客攻擊,一旦金融服務中斷將是嚴重的國安問題,美國致力與臺灣等理念相近夥伴打造可信賴供應鏈。專家29日表示,國際間面對資安議題應有聯防作為,而雲端供應商提供金融業服務,也擴大了資安防護的戰線。
臺灣金融研訓院與美國在臺協會(AIT)主辦「台美金融資安論壇」,總統蔡英文、AIT處長孫曉雅(Sandra Oudkirk)、美國保護網路安全關鍵設施辦公室(OCCIP)等人出席。
OCCIP網路情資風險分析與韌性部門總監薩George Salmoiraghi指出,美國政府2017年頒布行政命令,內容提到金融業面對資安威脅需減緩風險,且強調政府與民間單位有共同責任,2021年針對關鍵基礎設施的零信任文件中,認為公私部門均應盤點資安弱點、分享情資機制、管理風險及面對重大事件影響的演練計畫。
這些都突顯金融資安環境的重要性,他說,一旦金融服務中斷、影響國家經濟體制,就是嚴重的國安問題,尤其是911恐怖攻擊後,美國更重視關鍵基礎設施的實體保護,現在也面臨人工智慧(AI)、加密貨幣的挑戰,還有雲端技術帶來的風險問題,皆需跨部會探討共同抵減風險的方法。
「其實俄羅斯入侵烏克蘭就是近期一個典型案例」,George Salmoiraghi表示,有別於金融業單方面針對天災、駭客攻擊等逐項演練因應對策,美國對俄羅斯祭出金融制裁,並與各國央行和銀行合作,涉及國際間複雜情境,還要兵推俄羅斯透過國內外不同作法影響金融局勢,甚至要有防堵攻擊基礎設施的作為。
George Salmoiraghi認為,許多資安攻擊事件,不僅由國內策動,許多都是跨國犯罪行動,因此國際間如何聯防也變得相當重要。他建議,現今虛擬銀行風險程度較高,但隨著金融業持續深耕金融科技發展,必須衡量資安作為要與自身風險相稱,才是穩健作法。
雲端技術服務商過度集中化
美國針對金融機構採用雲端技術的白皮書在今年2月發布,OCCIP國際網路政策副主任Wilson Co點出主管機關有6大重要發現。首先,金融機構若使用雲端服務,特別是小型企業,在監控或盡職調查的透明度不足;第二,雲端服務供應商(CSP)除了提供專業工具的模版,也必須協助各家金融機構設計更具韌性的平臺。
第三,CSP若受到資安攻擊,可能連帶衝擊金融營運作業,因此針對弱點需要評估;第四,雲端服務市場有過度集中化問題,把持在微軟(Microsoft)、亞馬遜網路服務公司(AWS)等幾家大企業之手,也會帶來相關風險。
第五,CSP過度集中讓小型金融機構在談判合約上處於不利地位,這部份正在研擬相關機制;第六,國際監管有分散、碎片化狀況,因為各國雲端服務可能都有不同的法規規範,這部份還在尋找最佳做法。
臺灣金融業也面臨資料儲存問題,尤其擔心國外廠商雲端服務,卻將資料儲存在另外國家(如中國等)。對此,Wilson Co回應,現階段主要以提高雲端服務監控透明度為優先,但這涉及聯邦銀行系統、與第三方盡職調查有關,推動方向是希望CSP資安標準拉高到與金融機構相同。
資安人才缺乏是困難點
OCCIP高級政策顧問Steven Nider指出, 資安威脅不分國界,此次論壇也了解國際夥伴面臨的問題,找出臺美差異並對症下藥。他說,除了強調資安能力的提升,美國財政部也發現資安人才缺乏,正積極推動相關育才計畫,以因應未來AI科技發展。
Steven Nider透露,美國政府官員近期持續與科技大企業會面、聽取AI發展規劃,拜登總統未來幾週將發表針對AI發展的演說,屆時可能有較明確指示,財政部仍在籌備工作小組,評估AI等新興科技對金融資安的影響。