金融資安演習 11月紅藍開戰

國內金融機構的資訊安全防護能力到底有多強?行政院資安辦與金管會已規劃,今年11月要進行國內首次的金融紅藍軍對抗演習,將由國內外知名資安專家與駭客組成「紅軍」,進行攻擊,國內金融業聯軍則組成「藍軍」負責防守,將測試金融核心系統,如網路銀行、金融網站及ATM等範圍。

政府重視金融業資訊安全防護能力,決定「以戰代訓」,以攻防演習來測試國內金融機構的資安程度,2016年及2017年已辦理過跨域情境演練、DDoS、電子郵件社交工程、外網滲透、內網滲透等測試。

今年則是要針對「金融核心系統」建立模擬場域,展開紅藍軍對抗,今年7、8月左右行政院與金管會就會公布紅藍軍名單,並會展開密集培訓,預估11月展開正式的對抗演習,了解國內金融業在網路銀行、自家網站及ATM上的防駭能力。

另外,今年4月要公布的公司治理評鑑也將首次納入資安減分機制,即有發生過重大資安事故的公司,在評鑑上將可能被減分。金管會近期也將開會討論相關加減分名單,之前被金管會有重大裁罰的對象,亦會被減分。

金管會主委顧立雄21日即表示,強化資訊安全是全球所有企業的重要課題,金融業更是要重視資安,除了是保障客戶權益及交易安全外,若作不好的金融機構,金管會將列入申請業務的准駁依據,也會影響其存保的保費,增加其營業成本。

金管會除了會加強對金融機構的資安專案金檢,並進行相關演習,強化金融機構因應外部攻擊的應變能力。例如今年金融業即要組成國家聯隊,即藍軍,與行政院邀約的國內外資安專家、駭客組成的紅軍對決,雙方將就金融核心業務進行模擬攻防,由紅軍負責發動攻擊,藍軍負責防禦,要測試國內金融業資安防禦能力,但紅藍軍成員會到年中之後才公布,並會進行一定時間的培訓與擬定戰略。

另外金管會也已針對未來要成立的純網銀,準備之後金檢的作業方式,即要能測試出純網銀的資安能力。

你可能還喜歡