專‧家‧傳‧真－日益迫切的金融業資安風險

在企業界，早就將應對資安風險視爲當務之急：在《2021臺灣CEO前瞻大調查》中，數位網路安全就在臺灣企業心中的五大風險高居第二名，近乎四分之一CEO受訪者都認爲，數位資訊攻擊是一大隱憂；2020年世界經濟論壇（WEF）出版的「全球風險報告」中，網路攻擊的影響（impact）風險和可能性（likelyhood）風險都名列前十名。

相較其他行業，金融業直接與資產相關，且含有衆多帳戶往來明細，尤其是有心人積極想要突破的重點。最常見的金融資安威脅可分爲阻斷服務（DDoS）、勒索軟體（Ransomware）、標靶式攻擊（APT）、詐騙簡訊結合僞冒網站（Scam SMS and Fake Website）及商業電子郵件詐騙等五種。去年英國外匯交易商Travelex就曾遭到勒索軟體攻擊；至於KEB韓亞銀行等七家韓國銀行，則是受到阻斷服務攻擊，突顯金融業的資安風險已經迫在眉睫。

面對全天候考驗，金融機構該如何做好資安？首先，建立重視資安的組織文化十分重要，資安長應直接向董事會報告，還要爲董事會及中高階人員設置資安情勢、風險管理等專業課程，以利董事會決策與管理團隊運作時，可更有效掌握情勢。資安長對內應檢視機構資安管理是否符合公會自律規範，對外則要廣泛參與預警體系，密切聯繫同業及主管機關、將資安訊息互通有無，才能防患於未然。

再者，定期演練、監控也很重要，資安長平時應設定透過公正第三方驗證作業程序，及導入國際營運持續管理標準，以確保營運持續管理量能；此外，還要模擬資安漏洞發生的情境，以找出管理盲點，並讓所有成員提高警覺，避免無意間造成漏洞。第三，若不幸爆發資安事件，民衆可能對金融服務產生重大疑慮，資安長應立即率領團隊緊急應變，爭取在最短時間內消除威脅，弭平風險，以強化金融體系的作業韌性。

「勿恃敵之不來，恃吾有以待之」，金融業的願景是提供客戶安全、便利的金融服務，但在資安高風險時代，先要確保系統營運能力與資料安全，才能不斷落實願景。國內金融業新設資安長，預料將進一步建立重視資安的組織文化，提高金融業資安治理能力，爲強化資安邁進一大步。