2023年永续金融执行净零碳排和资安防骇将成为重头戏

Google Cloud台湾技术副总林书平则强调，在2023年的「数位信任」执行对资安强化的重要性，应重新建立起「零信任」架构；对此林书平分析，骇客透过各种社交工程，骗取员工的密码然后登录到内部系统，尽管一开始只能得到普通员工的权限 但接下来因为内网的防火墙不够、权限控管没作好、资料分级没有落实等疏漏，因此让骇客轻易攻破，成功取得机密资料。

观察国际对净零碳排评比的趋势，杨荆荪对最新观察结果分析，金融业已从国际中被要求在营运活动中不仅要参与减碳的要求：「而且要对碳排大户有更进一步的作为。」今年各评比来看，例如道琼永续指数的新增题组全都跟净零碳排相关，他预期在相关评比中：「明年脱碳议题会过半！」同样的CDP题组相关碳排的题目将增加逾一倍，SBT明年也会有跟净零有关的更多题组。

杨荆荪也进而指出，明年除了范畴一及二仍是重点：「另一重点在于金融业将自明年提前起跑范畴三。」同时国发会已有明确宣示，2027年全体上市柜公司要作碳足迹盘查，2029年要出验证报表，都将成为接下来要努力的重点课题。

杨荆荪观察，疫情这三年来，因为使用网路比例更高，因此资安防骇问题也更多，他认为明年在气候财务风险管理和资安的强化，将是ESG执行面要努力的两大重点。

蒲树盛则表示，在净零碳排、永续环境的相关财务影响揭露上，GRI，SASB，TCFD是三个揭露基本款。他进而指出，2027年1750家上市公司都要完成温气盘查并入财报范围，但接下来若碳排量不准确，并入财报是否算财报不实，是否用证交法？目前金管会正在思考该课题，因为涉及会计师签证财报，若碳足迹不正确是否算财报不实？这个问题很大。

他也提示，明年查出「漂绿」的业者，也成为重头戏；他也进而提示台湾金融业者明年可在永续金融服务着力的面向指出，水灾，旱灾，野火，饥荒是明年全球的四大灾难，而台湾则可在太阳能，与农渔业有关的小水力发电的发电契机，找到更多永续金融潜在的投融资机会，来协植这些潜在厂商，据他所知不少创投已对此很有兴趣。

蒲树盛也进而指出，薪酬与永续绩效有无联结？这将是未来评比永续金融的重要项目，他观察目前全台上柜公司，只有7％把永续绩效和董监酬荣挂勾，其他很低，这一块未来会更被重视，他并指出，接下来也会把ESG的「执行风险」纳入评比，例如，是否有把风险管理纳入治理文化？是否有作风险胃纳与压力测试？而所谓ESG风险有哪些？他举例，例如雇用幼童工，不给保劳健保，不给加班费、窜改数据，报告揭露不实，这些都是，另外，职场上的性别评等，举凡男女薪酬及职缺比较，都是基本款。

蒲树盛也预期，包括董事会的架构也会再进化，除了现行主管机关规定薪酬及审计委员会之外，国际上已希望再有「风险委员会」，把ESG和其他风险全部一起纳入，否则现在只放给审计员会检视，并不完整且负担很大。

蒲树盛也强调，ESG的评比报告书不应该长的一模一样：「因为各别公司策略会有不同！」组织的强度和韧性都需要同步检视，不见得强，例如防疫险在金融界导致极大冲击，就是一例；他并强调明年「数位信任」的建立也非常重要，并引数据指出，金管会统计去年56亿笔诈骗简讯，平均1人收245通，3天收到2通，将来这挑战越来越大。

林书平则表示，现在骇客的目的和十几年前相较，出现极大变化，十几年前，骇客是要证明其技术强，并未有财务及报酬的目的，但这几年，已转为财务报酬的动机，骇客进行资产绑架，拿到资料加密，被害人付赎金，才能解密拿回资产；不过林书平也表示，在骇客成功窃取资料之前，仍有很多征兆仍能作防备，他直言：「每一起事件背后至少有9.8次事件发生，有32.2次先兆，600起事故隐患。」

林书平进而以美国所查出骇客攻击15个漏洞的分类指出现行「零信任」的弱点和软体供应链的安全问题，强调identity的重要性，包括使用者自己，device，不同的service都要有不同的identity，code的identity都非常重要，并指出在「零信任」的安全模式之下，有三大重要的安全原则，包括：1、在内外网都要有很严格的限制；2 强化帐户安全并实施装置政策；3、传输加密并强制实施权限检查。

林书平也强调，美国NIST提供零信任的零信任架构之下，已指出不能透过传统方式去信任内网，而且现在第三方软体问题很多，透过开放软体而产生攻击事件，每年成长650%，但很多商用软体套件也具有弱点，有84%因为用开放软体的资安事件成长率。