SDG8  就業與經濟成長、SDG9  工業、創新與基礎建設

【數位貨幣與金融研究中心訊】

東吳大學與永豐金控於 2023 年 3 月展開第二階段產學合作,並在 4 月 21 日舉辦《東吳永豐數金論壇-資安韌性與金融科技創新》揭開序幕;以期在探索新經濟與新客群、廣納跨域人才培育及提升金融科技影響力等面向,持續共同推動嶄新的金融應用。

本次論壇之與會嘉賓數位發展部數位產業署署長呂正華特別揭示「資安產業化與產業資安化」的重要性。他強調,數位產業署全力推動IT科技與數位網絡創新,讓整個數位環境更健全,但同時也必須強化資安產業發展,落實數發部在社發、產發、突發建置,從社會共融、產業轉型、到應變韌性來建構全民數位韌性基礎。呂正華署長也強調,從金融業到中小企業都必須重視資安防護,建構產業資安化環境。

潘維大校長則說明,我國金管會正全力推動線上數位身份認證,與此同時,數位資安防護就顯得更為重要;尤其在同時面對各種可能突發狀況如大停電時,金融機構的異地備援以確保資金流動性與資訊安全就必須有健全措施。這次論壇並邀請奧義智慧科技共同創辦人吳明蔚博士、永豐金控資訊安全長李相臣、iThome 總編輯吳其勳、與本校法學院教授余啟民分享資安韌性與金融科技創新的重要觀察。

奧義智慧科技共同創辦人吳明蔚博士指出,現在每天有 50 萬個病毒、50 萬個釣魚網址,資安威脅無所不在下,資安人才卻稀缺,估計全球有高達 350 萬個空缺。與此同時,金管會的法律遵循越趨嚴格,領先全球,要求金融機構發生資安事件必須在 30 分鐘內通報。在攻擊更多、專家稀缺、時效迫切下,則大勢所趨必然得由「人機共駕」高度賦能 AI 等自動化科技,讓資安團隊不在莫名當砲灰,能事半功倍。

吳明蔚特別從董事會資安成熟度來檢視金融業乃至其他產業的資安挑戰。成熟度最低者會說「資安怎麼這麼貴?」其次則會思考「我們夠安全嗎?有合規嗎?」更進一步者則談「我們能不能把資安成為優勢?」成熟度最高者則提出「我們能不能完成數位轉型」?吳明蔚並提出檢視自身需要資安防護的 5X5 矩陣,橫軸是識別 (identify)、保護 (protect)、偵測 (detect)、應變 (respond)、復原 (recover);縱軸是裝置 (devices)、軟體 (applications)、網路 (networks)、資料 (data)、用戶(users),由此循序漸進探討資安的可視完整、阻擋已知、偵測異常、應變根因、與檢討韌性。

永豐金控資訊安全長李相臣則提出「營業不中斷」的資安韌性定義,他特別說明資安長的挑戰就在金融服務創新體驗與安全防護的平衡。他認為金融服務資安防護應考量使用者體驗,因此除第一線防護外,更重要的是中後端的分析。尤其現在木馬程式植入往往長達 90 天、甚至 155 天以上,如何避免被駭客長驅直入進行勒索,才是資安防護的重中之重。他並且提出有可能有資安問題的關鍵洞察包括:遠端遙控、取得最高權限、不屬於電腦的電腦、長假日之前等,值得資安人員警惕。

iThome 總編輯吳其勳則引用金管會主委黃天牧在 2020 年 8 月提出金融業應該形塑「集體韌性」的組織文化,並以「資安不倒翁」來說明資安文化乃是企業資訊安全的重心,推動良好資安文化的企業,擁有更強的資安韌性,更進一步說明形塑資安文化應包含以下幾個面向,一是提倡資安韌性意識的領導力,二是透過領導建構資安文化,三是由當責性與透明度來贏得信任,四是倡議員工的資安行為,最後則是提供持續的資安訓練。

法學院余啟民教授則由制度性管理來說明資安韌性的重要性。他認為未來金融機構的資訊安全長與法遵長、法務長、個資長的互動將相當重要;而資安制度建構包括形塑金融機構重視資安的組織文化、完成資安規範 (如ISO27001)、強化資安監理職能、與加強金融資安檢查。余啟民教授並提出「金融資安行動方案 2.0」應兼顧公平待客與友善金融,例如智慧客服可提升營運效率及減少經營成本,但卻可能有資訊隱私安全問題而無法深度應用;此外,當未來資料可攜與資料開放共享後,數位身份的掌控權如何回到客戶手上,以及相對應的權利義務指引,將成為未來數位轉型上的關注方向。

本次活動圓滿完成,《東吳永豐數金論壇》將於 2023 年 11 月間舉辦,敬請期待。

社群分享與回饋