國內金融單位,繼銀行金控後,金管會於日前再宣布資產上兆的保險業者須有獨立的資安專責單位即將於今年5月25日施行的歐盟GDPR要求企業需設置資料保護長(DPO);另外美國紐約州金融廳發表的「金融服務業網路安全要求規範」(23 NYCRR Part 500)規定金融服業者須設立資安長,以確保網路安全計畫的執行。諸多的政策、法規的變動下,金融業資安長面對外在的網路威脅昇高,與內部的組織架構變動,該如何自處?
今年春季時節,《資安人》雜誌邀請台灣金融業CISO資訊安全長們,進行一場互動交流會,主要目的為銀行同業們提供一個認識交流的機會,分享彼此在工作上面臨的各項挑戰。也希望藉由這樣的交流,達到某種程度的產業虛擬聯防,大家一起為客戶提供更安全的金融服務來努力。
全球科技風險十年最高
首先就威脅攻擊來看,BSI英國標準協會台灣分公司總經理蒲樹盛舉曾預測出金融海嘯、ISIS組織興起的世界經濟論壇報告為例,2018全球風險中科技風險高居第二,這在過去十年從未有過,而科技風險中又以網路攻擊佔第一位。
蒲樹盛進一步指出,像目前IoT裝置未能蓬勃興起的原因之一在於網路頻寬不足,但在今年5G的規格確定後,明年開始上線測試,預計後年普及,網路頻寬的增加也將帶動另一波IoT裝置的大量使用。不過他警告,目前IoT設備的弱點嚴重。以心律調節器為例,以往在不用聯網的封閉環境下使用較無安全風險,一旦聯結網路後,經檢驗竟有高達8,000個漏洞。而這些不安全且為數龐大的IoT裝置,當然就成為駭客發動DDoS攻擊的最佳工具。
資深技術顧問許力仁也提到,以往DDoS平均100Gb的攻擊流量,到去年已達400Gb。以香港、新加坡發的例子來看,即便ISP業者提供流量清洗的服務,但當攻擊超過70Gb時,為不影響到其他用戶,ISP業者還是會直接停止受害者的網路服務。此外,他也提醒像HTTP GET Flood這類的應用層攻擊,還是得靠WAF應用程式防火牆進行阻擋。如果是用AWS這的雲端服務,雖然供應商有提供WAF防護,但如何與本地端的WAF進行一致性的分析,則成為企業在雲端應用的另一個難題。
除了顯而易見的攻擊威脅外,企業也不能輕忽低風險警示的潛在危機。實務上像IPS、IDS等網路安全設備,為避免警示訊息過多造成判讀上的困擾,一般都都會調整為僅顯示高風險威脅。但蒲樹盛指出,許多駭客在開始嘗試入侵時就是呈現在低風險的狀態,「當出現高風險時,都是已發生了」。因此最好在出現低風險時就能予攔阻,以及早預防資安事件的發生。甚至在看不到的地方,像是駭客常用的加密網路,或是在APT入侵後如何徹底檢查IT環境以確認清除乾淨?這些都是可能造成資安事件旳威脅來源。
法遵合規性和有效性
因為存在各種可見與不可見的高低風險,各國政府或事業主管機關陸續提出更為嚴格的資訊安全規範。像近來歐盟的GDPR、紐約州金融廳的「金融服務業網路安全要求規範」等,希望透過法令的強制約束,讓企業組織能達到一定的防護要求。當然,金融業者相較其他產業往往面臨更複雜的法律範,在此先不對內容細節進行討論。不過與會的資安主管們就實務執行時,對合規性與有效性上提出疑慮。不少人表示,即使按照規範要求制定相關流程與完成所需控制事項,甚至通過資安認證後,單位依然發生資安事件,讓人質疑這些資安規範是否真能發揮效用?
舉例來說,資安政策中規定使用Telnet進行遠端登入作業時需經認證,但如果單位為求方便常態性的開放Telnet服務,最後還是會遭暴力破解,使認證的安全機制形同虛設。更有人直言表示主管機關太多行政干預,讓資安部門為了滿足長官的要求疲於奔命,非但無益於資安工作,更增加人員的日常工作負擔。另外像要求由第三方機構來進行資安檢測,但通常外部檢測人員只是看到表面,真正有效防護與否只有實際操作的內部人員最清楚,這些情況都顯示出法規遵循與實際資安成效間的差距。
關於合規性與有效性的爭議,可從幾個面向來看。首先對於業者對當地政府法規遵循的義務應無疑義,不過在執行法遵或制訂政策時,KPMG數位科技安全部門協理郭宇凡建議,應先針對各區分行的規範要求,找到共通一致的地方,然後再依照當地不同的特殊需求擬定不同的policy,以更有效的方式完成合規,他強調:「不要一國做一份,會做不完」。
至於合規是否有效?我們不諱言有些機構,尤其是國人會抱著做表面工夫的心態來應付查核,因此在開始訂定各項policy時,應從更務實的角度出發,而不是只求表面數字的漂亮而已。
以弱點掃描為例,是只做幾個IP應付一下,有做就好?還是進行全面的管控,但對於較不嚴重的弱點,設一定比例(如5%)的容忍度?就這部分而言,外商機構的確有值得學習的地方,他們會確實執行資安政策,讓policy變成習慣,再進一步把資安深化成企業的DNA。不過資安主管們要有心理準備,人有惰性,資安習慣的養成是持續漸進,別期待一步到位,要配合不斷的教育訓練提醒,才能讓這些安全規範發揮效用。
組織架構與人才培育的管理問題
組織是否該成立資安專責單位?資訊與資安是否應該分流?這是互動交流中,另一個引起討論的議題。現時仍有不少資安單位是隸屬在資訊部門下,甚至不少資安主管也都是出身自IT部門。這種架構的優點在當銀行推行新的金融科技服務,需要IT部門支援並進行相關資安的評估時,CIO能依底下資安主管的意見,直接決定系統規劃的方向。
但如按政府要求設置獨立的專責單位,像國外銀行將CISO放在COO底下時,資訊與資安部門就容易產生衝突;這時資安與資訊分流,就是把內部的矛盾擴大成外部的衝突,單從業務角度來看,以往一人決策的方式似乎更有效率。
郭宇凡從自己在國防部的經驗來看,兩單位間存在某種矛盾是必然。成立專責機構是為了充分揭露可能的潛在風險,而不是純就利益的考量忽略可能的危機。至於在上的管理階層,如COO或董事會就要在業務成長,與所面臨的潛在風險兩者間找到平衡點,將風險控制在可容忍的管圍內。所以資安長也要拉高視野,不只著眼在日常的防護作業上,還要從整個業務規劃、組織管理的角度來看資安,才不會讓資安成為業務的絆腳石。也因此郭宇凡認為資安長在個人職涯的發展上,除了資安本身的專業外,還要有不同部門輪調,或是國外分行的歷練,甚至在處理國外突發事件時,良好的外語能力也會有所幫助。
成立資安組織後,單位成員要由內部員工轉任?還是從外部求才?內部員工轉任的話要評估是否具備足夠的專業能力?外部徵才則要考量人員是否熟悉金融產業的生態?這部分要先盤點出單位目前的任務範圍有哪些,才能決定徵才的方向。另外隨著攻擊威脅不斷演進,資安人員也要持續在職訓練才能與時俱進。教育訓練的方式要避免流於形式,資安證照的取得是否代表人員具備實戰的能力?這些則是在訂立個人績效指標需注意的地方。
找到屬於自己的平衡
在數位化轉型下,資安很多工作環節都與資訊安全相關,除了處理與其他單位間的工作問題外,還隨時加三不五時出現事件通報,資安長簡直要像超人般的能力,才能應付這些接踵而至的問題與緊急狀況,因此資安長就像英雄電影中,維護地球和平的超人般扮演著保護企業數位世界的安全。
有了這個體認後,接下來要做的,就是平衡。例如,讓合規、有效之間達到平衡,讓單位間,內外衝突化解以求平衡,業務與資安的平衡。這個平衡,不是齊頭式,全部一視同仁的平衡,因為人的時間、資源有限,不可能兼顧所有事物,所以要按照重要性去妥善分配資源。就像進行身份認證一樣,依應用的不同予以不同的認證強度,拾級而上。例如存取一般資料時,只要有帳號、密碼即可;如果要登入內網,則需搭配Token;如果是更重要,像關於行動支付的應用,還要再加上IP、裝置等進行多因素的認證。資安工作也是,既然無法面面俱到,就要依輕重緩急訂出順序,加以取捨,才能將有限的資源、時間做最有效的配置。
資安很難做到滴水不漏一樣,即便做了所有準備,但總有突發事件會出現。不管是威脅攻擊,還是新任務的指派,唯有將它們視為日常工作的一部分,隨時做好心理準備,將更有助資安長們有更多的餘裕空間與時間,找到屬於自身與安全的平衡。