专‧家‧传‧真－日益迫切的金融业资安风险

在企业界，早就将应对资安风险视为当务之急：在《2021台湾CEO前瞻大调查》中，数位网路安全就在台湾企业心中的五大风险高居第二名，近乎四分之一CEO受访者都认为，数位资讯攻击是一大隐忧；2020年世界经济论坛（WEF）出版的「全球风险报告」中，网路攻击的影响（impact）风险和可能性（likelyhood）风险都名列前十名。

相较其他行业，金融业直接与资产相关，且含有众多帐户往来明细，尤其是有心人积极想要突破的重点。最常见的金融资安威胁可分为阻断服务（DDoS）、勒索软体（Ransomware）、标靶式攻击（APT）、诈骗简讯结合伪冒网站（Scam SMS and Fake Website）及商业电子邮件诈骗等五种。去年英国外汇交易商Travelex就曾遭到勒索软体攻击；至于KEB韩亚银行等七家韩国银行，则是受到阻断服务攻击，突显金融业的资安风险已经迫在眉睫。

面对全天候考验，金融机构该如何做好资安？首先，建立重视资安的组织文化十分重要，资安长应直接向董事会报告，还要为董事会及中高阶人员设置资安情势、风险管理等专业课程，以利董事会决策与管理团队运作时，可更有效掌握情势。资安长对内应检视机构资安管理是否符合公会自律规范，对外则要广泛参与预警体系，密切联系同业及主管机关、将资安讯息互通有无，才能防患于未然。

再者，定期演练、监控也很重要，资安长平时应设定透过公正第三方验证作业程序，及导入国际营运持续管理标准，以确保营运持续管理量能；此外，还要模拟资安漏洞发生的情境，以找出管理盲点，并让所有成员提高警觉，避免无意间造成漏洞。第三，若不幸爆发资安事件，民众可能对金融服务产生重大疑虑，资安长应立即率领团队紧急应变，争取在最短时间内消除威胁，弭平风险，以强化金融体系的作业韧性。

「勿恃敌之不来，恃吾有以待之」，金融业的愿景是提供客户安全、便利的金融服务，但在资安高风险时代，先要确保系统营运能力与资料安全，才能不断落实愿景。国内金融业新设资安长，预料将进一步建立重视资安的组织文化，提高金融业资安治理能力，为强化资安迈进一大步。