金融四资安威胁 金管会示警
四大资安威胁,随时可能瘫痪金融体系,金管会6日公布「金融资安行动方案」,将要求所有金融机构在四年内要完备资安防护体系,一旦遭骇客或病毒入侵,最大可容忍的服务中断时间不可逾4小时,即要尽快修复,如证券下单、财金公司基础建设的可容忍中断时间将可能更短。
金管会示警金融业的四大资安威胁,一是国际遭骇事件频传,金融机构为瞩目的标的。如国内曾见SWIFT系统遭盗转、ATM遭盗领、藉DDoS攻击勒索等事件,都可能造成金融服务中断。
二供应链成为骇客攻击跳板。金管会要求金融业要强化资安管理,包括资料传输安全性、人员资安意识、及委外厂商或供应商资安等风险,近来骇客会借由先攻击委外厂商或供应商,再攻入金融机构。
三是具针对性的攻击常潜伏期长、影响大,防御难度倍增。金管会指出,很多骇客或病毒的潜伏期长达半年到一年半,金融机构极难侦测与防范,金融资安事件已无法完全避免,考验的不仅是事前防御,,还有事中的紧急应变及事后的灾害复原能力。
四是国家级金融犯罪组织持续活动,即骇客已从过去单打独斗,转型为有组织、专业化及国际化发展,难以完全防范,造成金融机构资安风险大幅增加,特别是如北韩有专业的骇客组织,专门针对金融机构攻击。
金管会订出的资安行动方案,将从今年启动,每半年检视一次,分四大面向共36项资安措施,其中,将要求资产逾1兆元的17家银行、8家保险公司,实收资本额200亿元的3家证券公司及3家纯网银,在2021年底前要设立专责资安单位及副总级以上资安长。
另外,也要研议是否统一设置资料保全中心,即比照美国的资讯避风港计划,将民众的重要关键金融资料,保存在高度防火、防水、防震及离线的「金库」内。
金管会副主委兼资安长邱淑贞表示,在持续开放金融业务、提升金融竞争力之外,金管会关心金融经营形态改变的风险,2020年世界经济论坛揭露未来十年的二大风险,一是环境变迁与地球暖化,第二就是资安风险,其中还分三部分风险,一是网路攻击,二是关键基础设施被破坏,三是个资被窃或泄露,所以金管会订定资安行动方案,提醒金融机构要不断增加因应作为,才能继续推动金融科技与创新的运用。