金融四資安威脅 金管會示警

四大資安威脅,隨時可能癱瘓金融體系,金管會6日公布「金融資安行動方案」,將要求所有金融機構在四年內要完備資安防護體系,一旦遭駭客或病毒入侵,最大可容忍的服務中斷時間不可逾4小時,即要儘快修復,如證券下單、財金公司基礎建設的可容忍中斷時間將可能更短。

金管會示警金融業的四大資安威脅,一是國際遭駭事件頻傳,金融機構為矚目的標的。如國內曾見SWIFT系統遭盜轉、ATM遭盜領、藉DDoS攻擊勒索等事件,都可能造成金融服務中斷。

二供應鏈成為駭客攻擊跳板。金管會要求金融業要強化資安管理,包括資料傳輸安全性、人員資安意識、及委外廠商或供應商資安等風險,近來駭客會藉由先攻擊委外廠商或供應商,再攻入金融機構。

三是具針對性的攻擊常潛伏期長、影響大,防禦難度倍增。金管會指出,很多駭客或病毒的潛伏期長達半年到一年半,金融機構極難偵測與防範,金融資安事件已無法完全避免,考驗的不僅是事前防禦,,還有事中的緊急應變及事後的災害復原能力。

四是國家級金融犯罪組織持續活動,即駭客已從過去單打獨鬥,轉型為有組織、專業化及國際化發展,難以完全防範,造成金融機構資安風險大幅增加,特別是如北韓有專業的駭客組織,專門針對金融機構攻擊。

金管會訂出的資安行動方案,將從今年啟動,每半年檢視一次,分四大面向共36項資安措施,其中,將要求資產逾1兆元的17家銀行、8家保險公司,實收資本額200億元的3家證券公司及3家純網銀,在2021年底前要設立專責資安單位及副總級以上資安長。

另外,也要研議是否統一設置資料保全中心,即比照美國的資訊避風港計畫,將民眾的重要關鍵金融資料,保存在高度防火、防水、防震及離線的「金庫」內。

金管會副主委兼資安長邱淑貞表示,在持續開放金融業務、提升金融競爭力之外,金管會關心金融經營形態改變的風險,2020年世界經濟論壇揭露未來十年的二大風險,一是環境變遷與地球暖化,第二就是資安風險,其中還分三部分風險,一是網路攻擊,二是關鍵基礎設施被破壞,三是個資被竊或洩露,所以金管會訂定資安行動方案,提醒金融機構要不斷增加因應作為,才能繼續推動金融科技與創新的運用。