护资安 金融业防骇大练兵
金管会、银行公会全力强化资安
资安威胁频传,金管会2020年更推出金融资安行动方案,近几年金管会的演练锁定DDoS(分散式阻断服务),今年则增加新尝试,也就是「金融骇客入侵模拟演练」,目前已有银行报名参加。据悉,金管会今年攻防演练规模扩大外,也增加入侵与攻击模拟演练,差异是参考APT进阶持续性渗透攻击组织的方式来制作演练剧本。
行库指出,金管会近几年的资安演练,主要锁定DDoS攻防演练,也就是借由演练攻防测试,看银行是否可以成功阻挡DDoS攻击,且于攻击期间,网路银行网站回应的情形是否正常,服务是否可以达到不中断。
但今年攻防演练规模扩大,除了让更多的金融机构一起参加,借此强化应变能力,今年也增加入侵与攻击模拟演练。金管会委托财金公司举办「111年金融骇客入侵模拟演练」,模拟骇客以自动化形式检测金融机构资安防护能量,主动发现银行防护弱点,并测试SOC资安监控中心、SIEM资安事件管理或CERT电脑紧急应变团队的资安事件分析与应变能量。
公股银主管指出,很多金融机构也会自行推出相关演练,而金管会推动之下,可以让更多的业者实际参与。
除了金管会,银行公会也积极协助强化各银行的资安能力,今年的重点工作之一就是强化资安风险防御能力。银行公会强调,今年积极落实会员银行间的资讯安全联防机制,包括CSIRT(Computer Security Incident Response Team)小组持续办理金融资安训练研讨会、维运资安讯息分享平台等,以协助提升银行总体资安防护能量。
银行公会为增进安控基准的易读性及因应技术发展弹性,也成立「安控基准改版小组」,研议「安控基准」整体架构调整事宜。
此外,银行公会依据金管会「金融资安行动方案」相关要求及参酌行政院国家资通安全会报技术服务中心相关规定及英国发布「建构英国金融业之作业风险抵御能力」,研议订定「金融机构资通系统与服务供应链风险管理规范」及「金融机构资讯作业韧性规范」,强化金融机构资讯与供应链体系的风险防御能力。