解密OCCIP 聚焦关键基础设施联防

台湾银行家第164期:台美合作 金融资安更罩（台湾金融研训院）

OCCIP就如同情资单位，主要是与金融部门公司、行业团体和政府合作伙伴保持密切合作，共享有关网路安全、实质威胁和漏洞资讯，鼓励使用符合资讯安全标准及最佳化措施，发生重大事件时，做出回应及恢复正常运作。

台美双方首次在金融资安议题上进行公开性合作，最受瞩目的「焦点」，就是来自美国财政部（U.S. Department of the Treasury）的网路安全和关键基础设施保护办公室（Office of Cybersecurity and Critical Infrastructure Protection, OCCIP），然而这个神秘的单位究竟在资安议题上扮演哪些角色？

根据调查，在美国财政部官网上的组织架构图中，并未看到网路安全和关键基础设施保护办公室（OCCIP）的名称，仅找到一段简要的介绍文字，「OCCIP协助美国财政部相关部门的工作，以加强金融服务部门关键基础设施的安全性和弹性，并降低运营风险。」

其实OCCIP就如同是一个情资单位，因此本身非常低调、曝光极少，他们主要是与金融部门公司、行业团体和政府伙伴保持密切合作，共享有关网路安全、实质威胁和漏洞的相关资讯，鼓励使用符合资讯安全标准及最佳化措施，并在发生重大事件时，做出回应及恢复正常运作。

这次来台湾参加论坛专题演讲的OCCIP网路情报、风险分析和韧性部门主管萨蒙瑞伊（George Salmoiraghi），在专题演讲「国家金融稳定与强化金融韧性-美国对于重大事件与金融稳定之策略、实务」中，概略提到近20多年间，美国政府如何将「关键基础建设防护」列为施政的核心与重点，特别是在2001年「911恐怖攻击事件」之后，陆续发布行政命令、基本策略跟国土安全总统令等。

萨蒙瑞伊指出，如何有效地整合关键基础建设与重要资源，并有效地运用联邦经费及资源，保护关键基础建设免于恐怖攻击，美国国土安全部也修订相关的计划，强调「安全与韧性」作为推动国家关键基础设施的防护目标。而OCCIP的责任在于协调各单位，重点在于推动国防要素、驱动所有面向，确保基础设施安全的可用性和安全性，并进行弱点评估，布建资讯分享和跨部会协调。

萨蒙瑞伊提醒，情报分享十分重要，必须有一个团队负责持续交流，即便在疫情爆发期间，也能运用科技让其他单位参与，目前团队有1,200名参与者，针对金融业等相关单位提出建议，同时，找出威胁跟弱点进行演练，风险管理跟减缓风险是现阶段的两大重点，如何设计更有效的演练，检视金融机构跟设施之间的相互操作性。

由于美国总统拜登上台后，政府重要部门陆续遭到重大网路攻击，萨蒙瑞伊也提到，拜登于2021年5月签署发布，要求改善国家网路安全并保护联邦政府网路，同时，提醒民众政府单位和民间企业发生的资安事件，若只靠联邦政府的行动并不足，尤其美国多数关键基础设施由民间企业所拥有，所以，需要鼓励民间企业采取较积极的措施来调整网路安全投资。

因此，OCCIP最近不断跟民间企业合作，要采取哪些更好的方式检视风险，金融也是一个关键基础设施，透过举行工作坊、相关地图检视金融单位不同的流程间如何连结，连带造成何种效应，借此设计更有效的演练，来检视金融机构跟设施之间的相互操作性。

由于乌俄战争持续一年多，双边的网路攻防也成为外界关注议题。萨蒙瑞伊表示，OCCIP多年来跟许多政府机构，包括各国央行、银行等合作，提升资讯安全和韧性，美国政府也会即时提供金融机构跟基础建设等相关资讯交换与交流，毕竟祭出技术制裁之后，是否会对国内基础建设产生影响，也需要密切关注。

在专题演讲结束后，萨蒙瑞伊也与国内的金融机构业者互动，近年来与金融业相关的资安事件及谣言甚嚣尘上，有业者问及，如何研拟推动相关政策并进一步强化金融稳定度？

萨蒙瑞伊建议，要能辨识潜在风险，其实谣言攻击并未如此有效，可以跟更多合作伙伴分享资讯，来防范有敌意国家或有心人士的攻击；另在受到冲击时，OCCIP会匿名与相关单位合作，分享目前状态，提升到全国层级的因应机制，甚至是跨国合作。 （全文请见8月号台湾银行家）