在數位經濟裡,即使非數位產業也會因為資訊科技的應用產生變化,結合IT技術的FinTech(金融科技)全球風潮就是最好的例子。KPMG安候企管公司執行副總經理謝昀澤以邁向2020智能金融為題,提醒台灣金融業者在資安上需要注意的重點。
資安單位在金融機構的定位
重視資安與否,從資安團隊的定位就可明顯看出。幾乎金融業都有專責的資安單位,但有些公/民營銀行的資安主管只到科長層級,在參與資安工作與稽核時,就容易發生缺乏統籌單位的情況。其他像無法充分管控作業風險,與業務單位參與資安管理作業程度不足,這些台灣金融機構常見的問題都與資安單位的定位有關。所以謝昀澤建議金融產業要提高資訊長的高度與深度,定期向最高管理當局報告,並與現有資訊單位主管有明確獨立的責任分工。
金融上雲的評估
雲端應用已是企業IT的必然趨勢,謝昀澤也分享了6個金融業在評估上雲的重點與步驟。先從需求分析開始,是要給用戶更好的使用體驗?還是提高IT資源的運用效率?接著進行效益評估,並據此擬定KPI。第三是列出上雲後的可能衝擊與風險,選出適當導入的雲端服務。第四是檢視雲端服務廠商的服務標準協議與是否符合資安要求,例如支援DDoS防護、每年接受資安稽核或提供查核報告等。第五是法規遵循,像是否有涉及個資與敏感資訊的跨境傳輸問題。最後才是像APP檢測等架構於雲端平台的技術檢測方式。
圖1: 6個金融業在評估上雲的重點與步驟(資料來源:KPMG提供)
另外也要考量像Fintech的各種創新服務,或其他的新興科技,是否會造成資安隱憂。例如銀行使用生物認證時的安全控管原則,像建立錯誤接受率/拒絕率的標準,無法以生物特徵識別客戶時,應提供重新收集生物特徵的管道,並確保生物特徵資料在傳輸過程的安全等。
企業CSIST電腦安全事件應變小組的建立
即便做了最完善的保護,面對無所不在的網路威脅,還是無法完全阻絕駭客的入侵。既然無法避免遭到攻擊,那麼組織就最好務實的將防禦戰線延長,從事前預防,擴展到事中發現與事後回應。因此現在開始有不少企業自行設置電腦安全事件應變小組(Computer Security Incident Response Team, CSIRT),一方面在事件發生時能將損害降至最低,也能確保資安自主與隱私,另一方面在平時持續性監控內部潛在威脅,並藉由事件處理經驗的回饋,提昇企業的資安能量。
負責全台資安事件通報與跨國情資共享的台灣電腦網路危機處理暨協調中心(TWCERT/CC),也在2017年10月底公布第一版的民間企業組織/產業公會CSIRT建置實務指引,裡面詳述CSIRT角色權責與分工,與相關的建置實務概要,中心主任陳永佳就以PDCA品質管理循環來說明如何建立CSIRT。而事件應變小組的設置,不但為企業減少攻擊損失,同時符合法規對事件通報的需要,其中對數位鑑識技能培養,也是企業要及早因應準備的工作。
圖2: CSIRT角色權責與分工(資料來源:TWCERT/CC提供)
圖3:以PDCA步驟建置CSIRT(資料來源:TWCERT/CC提供)
電影「蜘蛛人」中有一句經典台詞:「能力愈大,責任愈大」。對2018年的資安從業人員而卻恰好相反,資訊安全是擴大數位轉型應用的基礎,未來資安人的責任會更多、更重,除了技術專業外,與時俱進的法規趨勢、產業知識等都將成為資安人員提升自我能力的方向。