主辦單位:資工系
時間:111年12月16日
地點:工學館G315
主講人:金融監督管理委員會主任秘書蔡福隆
演講題目:金融科技理論與實務─產業運用與趨勢
我認為,在這日新月異的科技世代、無遠弗屆的網路力量之中,人們在網路使用上帶來相當多的便利之處,但在這個資訊化與日俱進的同時,也衍生了不少金融方面的問題例如資產遭竊、個資外洩、機構被勒索等現象,因此「金融」和「資安」兩者之間呈現了相對的密切關係,當資訊使用量愈龐大時,就顯得資安格外重要,更需要透過一些措施來加強管理。
在談論金融和資安之間的關聯之前,我想先提及因為近年來受疫情影響的關係,對國際金融情勢而言相當不樂觀,所以產生物價通貨膨脹、能源價格上漲等現象,因而造成整體經濟成長下降。在這裡,我歸納了近兩年來國內外資安情勢的變化,分別是烏克蘭戰爭中的資安戰、勒索軟體依然猖獗網路詐欺片事件有增無減、錯假消息已成常態、雲端應用日益增加等等,其中對資安情勢變化最大的則是疫情中遠距上班。由於近年來新冠疫情升溫的關係,使得許多民眾不得已,只好以遠距的方式處理辦公,雖然對於大多數行業而言,遠距辦公和實體辦公相比,整體而言有著些微的輕鬆之處,但對於金融機構來說,資安卻成為了一大難題相對的風險也隨之增加。
由於金融業是高度利用資訊科技的產業,加上遠距現象的普遍化,民眾對於網路上的使用需求與日俱增,因此隨時都有著網路內部系統被存取的風險,甚至是進一步攻擊的可能性,造成駭客從四面八方大量崛起。除此之外,金融機構在投資操作上也需要受到業務層面的嚴格控管,為了避免私下下載、存取等動作,在家遠距上班時,就無法處理和客戶相關的個資業務,因此造成某些工作進度上的延誤。
雖然金融相關的資安問題沒有絕對的安全措施,但可以透過一些較為韌性的方式,強化資安方面的防護。我想一定有人不解「韌性」一詞於此的用法,這是今年度熱門的用詞之一,「資安韌性措施」是指讓那些存取的資料不被駭客輕易入侵竊取,能夠有效率地防範那些存在於未來的險。 在這方面我也歸納出以下幾點韌性的措施:資料備份、定期舉行資安演練和觀念宣導、委外管理、IOT管理、身分驗證、VPN遠端辦公管理、金融DDOS和CDN的整體架構、提升小型機構防禦等能力等,其中最為簡單和常見的措施是在離線時、第三地或是雲端硬碟上存取備份資料,避免發生重要資料不見的情形;架構零信任網路,也就是依循「永不信任,一律驗證」的原則,進行網路分段和嚴謹的存取控制是不錯的措施;有關建立虛擬監控應變指揮中心,負責全天候的資安監控的部分,這是我認為最實際,也是成效最顯著的方法。
我國融資安行動方案朝著公私協、差異化管理、資源共享激勵誘因、國際合作等五大面向進行推動。政府可聯合各業別公會,一起同心協力、分工合作,依照不同的類別給予不一樣的資安需求協助,並且結合其他國家的資安組織,建立彼此的情資分享,更加掌握國際資安情勢和脈絡。我國政府積極提供重視資安的組織文化,並持續鼓勵設置資安負責單位或人員、遴聘具資安背景的董事或顧問,已於110年9月已完成修法,目前已有39家本國銀行、8家保險公司、13家券商公司設置資安長;41家保險公司、39家銀行、3家券商設置資安專責單位、48家金融機構遴聘資安諮詢小組,積極執行和推動該方面的措施,以達到資安防護的成效。
最後,我認為系統化地培育金融資安專業人才,以強化民眾資安認知,例如培育跨領域人才、增加校園內資安相關領域的師資、鼓勵資安人員取得相關證照以提升專業能力等,都是生活中很重要的一環,希望能夠更強化金融供應鏈體系於風險上的評估與管理,也希望民眾在推動新興科技業務的同時,都應先考量任何與資安相關的潛在風險,增加修訂資安自律規範、強化新興科技的資安防護,同時兼顧服務創新和安全兩者,不要因為一時的疏漏和怠忽,甚至是急於迫切創新的渴望之心,而捲入了不必要的資安風險大戰,額外花心力應對、花時間解決都並非易事。在此感謝在座同學們的聆聽,希望這場演講對你們未來都能夠擁有實質的幫助!(文/吳沂諠)