國發會表示,因應產業正面臨數位科技發展、氣候變遷等挑戰,政府已積極推動數位轉型、淨零轉型,並提出相關計畫與關鍵戰略,以協助產業因應。 在推動數位轉型部分,邁向智慧國家是政府重要施政目標,國發會推動「六大核心戰略產業推動方案」、「5+2產業創新計畫」,包括推動促成AIoT應用場域、智慧機械產業創新計畫。 她表示,金融業是高度使用資訊、數位化的產業,沒有電腦將難以查詢客戶的存款,加上現在大量App應用、雲端分析之下,客戶資料的保護都會是重要課題。 除此之外,去年金管會開啟金融業跨金融機構共同使用客戶資料的大門,並提供相關指引,但共同合作的金融機構,要如何保護客戶資料,將是金融業者與資安長必須去了解的。 為強化金融監理科技應用,公告委託臺灣集中保管結算所辦理票券金融公司監理資料蒐集暨處理作業等相關事宜,並建置票券金融公司數位監理申報暨分析系統,定期及不定期提供金融監理機關監理分析資料及管理報表,以增進監理效能,該機制預計110年6月正式上線。 舉例來說,從2018年就興起一股浪潮,國際間對於網路安全策略經歷了轉變,而許多科技與資安業者倡議與發展零信任模型,以及零信任架構(ZTA),又或是零信任網路架構(ZTNA),到了2023年,已有更多科技大廠已經導入或提供相關解決方案。
- 此外,其他多項演練計畫也會持續進行,包括連續多年進行的DDoS攻擊演練,而網路攻防演訓今年規模亦擴大,採聯隊方式進行,讓更多金融機構可以共同參與,強化基本應變能力。
- 〔記者王孟倫/台北報導〕為強化金融業資安防護能力,金管會今天舉行記者會公布「金融資安行動方案2.0版」,共有9大面向,將以3年為期分階段推動;其中,資安長不僅將擴大設置,未來將定期及不定期辦理資安長聯繫會議,此外,也將辦理資安攻防演練,規劃重大資安事件支援演訓等。
- 另將輔導金融機構SOC導入依據網路攻擊行為樣態研訂的資安監控組態基準(包含異常事件觸發及關聯分析規則等),並以此為基準研訂與聯防SOC協作的監控組態與事件單觸發規則,以增進聯防SOC對金融機構饋送事件單關聯分析之即時性及有效性,並利資安監控情資的回饋,提升金融機構SOC與聯防SOC協同運作效能。
- 微風集團昨天發生個資外洩事件,數位部長唐鳳今(23)日出席2023金融科技趨勢論壇時指出,微風的主管機關經濟部商業司跟數...
- 不過,成熟度評估雖然是很好的方式,但要證明資安做得有效,取得國際標準還是較有效的溝通方式,較特別的是,他們現在鼓勵金融機構取得國際持續營運管理標準ISO 22301認證,根據金管會在2022年6月統計,其實目前國內已有不少業者採取行動,包括10家銀行業、5家證券業與5家保險業,已經通過驗證。
- 此方案是強化金融韌性的重要基礎,目的要落實安全、便利及不中斷的金融服務。
- IRent、格上租車陸續發生個資外洩事件,繼交通部公路總局開罰後,證交所今也對和泰汽車、和潤、裕融3家公司違反內控制度,...
- 在落實災害應變復原運作機制方面,林裕泰提到一個新面向,主要是參考歐盟今年5月發布數位營運韌性法案(Digital Operational Resilience Act,DORA),當中強調隨著整個數位轉型或是金融發展樣態發展,特別需要注意第三方供應商風險監控,因此,林裕泰強調,整個韌性的模擬演練,未來也必須要把供應商放到整體金融服務環境裡面來考量。
在資安分析技術不斷進步之下,攻擊者也持續找出新的規避偵測的技術,本日有兩起資安人員研究公布亦突顯此一情形,包括新的Shellcode技術與新繞過Windows MoTW的方法。 微風集團昨天發生個資外洩事件,數位部長唐鳳今(23)日出席2023金融科技趨勢論壇時指出,微風的主管機關經濟部商業司跟數... 第5、保險業新一代清償能力的制度藍圖:為強化保險業財務健全,及承擔風險能力,將研議國際保險資本標準(ICS) 2.0,讓國內保險業參採測試,以利於國際競爭力 ,尤其有助於國際會計準則IFRS17接軌。 北富銀金融安全部副總經理蔡佩玲說明,一般詐騙案件中,通常會有兩個重要的金流關鍵點,第一個是引導被害人把錢轉入人頭帳戶,第二個則是透過車手把人頭帳戶的錢提領出來,而「智能防詐生態圈」就是提前設定攔阻機制,增加阻詐成功率。 金管會副主委邱淑貞表示,資安長聯繫會議暫定半年舉辦一次,遇到重大議題,會由她親自主持。 金管會副主委邱淑貞表示,資安長聯繫會議暫定半年舉辦一次,遇到重大議題由她親自主持。
金融資安行動方案2.0: 自由日日shoot》防疫險金檢4缺失 政策也難卸責
在2022年7月,行政院國家資通安全會報技術服務中心表示,會先遴選機關試行導入,並預計在三年內,分階段逐年導入零信任網路的3大核心機制:身分鑑別、設備鑑別,以及信任推斷。 同時,提升資安情資分享動能,增進資安聯防運作效能,督導金融資安資訊分享與分析中心(F-ISAC)持續加強情資分析的深度及廣度,並深化與會員間之情資分析與交流,以利及時提供更為精確完整的早期預警與防護建議。 另將輔導金融機構SOC導入依據網路攻擊行為樣態研訂的資安監控組態基準(包含異常事件觸發及關聯分析規則等),並以此為基準研訂與聯防SOC協作的監控組態與事件單觸發規則,以增進聯防SOC對金融機構饋送事件單關聯分析之即時性及有效性,並利資安監控情資的回饋,提升金融機構SOC與聯防SOC協同運作效能。
隨著行政院宣布擁抱零信任架構,金管會在2.0方案中,也要鼓勵金融機構擁抱零信任架構,林裕泰指出,希望金融產業可以參考行政院推動零信任網路的部署方式,分三階段,身份鑑別、設備鑑別、信任推斷來擁抱零信任架構。 值得關注的是,金管會計畫要以零信任架構重新檢視多項金融資安議題,來修訂相關資通系統安全自律規範,包括內外部網路的資源存取、網段隔離、邊界防護等議題。 這可能會將零信任帶到更多領域,甚至延伸到金融生態圈也需要跟進支援零信任架構的要求。
金融資安行動方案2.0: 企業資安事件頻傳 金管會規定金融業須於30分鐘內通報
回顧過去,為追求安全便利不中斷的金融服務,金管會於2020年8月發布金融資安行動方案,執行迄今已逾兩年。 重大個資外洩事件頻傳,數位發展部長唐鳳表示,在數位部聯防的新機制裡面,除了第一時間通報外,今(23)日也會同資安院及商業... 第3、信託業務2.0:深化國內信託業務,包括跨業結盟等;第4、金融科技發展路徑圖,金管會將收集業者意見,進一步檢討金融監理沙盒,考慮將降低申請門檻等。
金管會指出,金融資安行動方案2.0版將以3年為期分階段,以公私協力、差異化管理、資源共享、激勵誘因、國際合作等方式推動,每季檢討成果,並隨資安發展趨勢及實務運作情形做滾動式檢討。 為確保金融系統營運不中斷,金管會今天(27日)發布「金融資安行動方案」2.0版,以擴大適用、落實與深化、鼓勵前瞻為主軸,訂定40項措施,盼能強化金融業資安防護能力。 其次,為使民眾的存款資料、保險資料等,無論遇到任何重大資安事件或天然災害等風險都不會流失,金管會將研議並鼓勵重要金融機構強化重要核心資料保全機制,包括核心資料檔案、資料庫加密與分持,儲存於第三地或雲端備份等機制。 於IMD世界競爭力排名中,台灣的基礎建設項目排名也自2017年的21名,評比逐年提升至2023年的12名,顯見前瞻基礎建設之推動,已積極提升我國各項基礎環境,並獲國際評比之肯定,也成為厚實我國國際競爭力動能。 例如,之前要求金控設副總層級資安長,後續擴大要求本國銀行、純網銀,以及一定規模的保險與證券期貨,都要設置資安長,目的就是讓資安長能夠由上而下調動各種資源,來支持組織資安的發展。
金融資安行動方案2.0: 落實「金融資安行動方案2.0」中華軟協攜手數聯資安強化金融業營運韌性
金管會強調,金融資安行動方案2.0版將以3年為期分階段推動,每季檢討成果,隨資安發展趨勢及實務運作情形,調整行動方案內容。 為利行動方案推動,將依5方式推動執行,包括公私協力、差異化管理、資源共享激勵誘因及國際合作,鼓勵金控或周邊單位(公會)建立資安事件應變小組,透過資源共享及合作,強化金融資安防禦能力,透過主管機關監理機制,如將資安風險因子納為業務准駁、資本計提、存款保險費率、保險安定基金費率之參考因子,引導金融機構主動積極執行資安措施。 金管會資服處處長林裕泰公布了2.0版的推動藍圖,除了在政策面和管理面的新措施,如定期舉辦資安長聯繫會議,也因應金融業數位轉型需求來修訂相關自律規範,另外,為了深化資安強度,將鼓勵金融機構採用零信任架構,擴大推動資安監控機制,也要重視金融核心資料的保全。
不僅如此,由於零信任架構當中結合多種既有技術及方法,因此不論是身分識別方面的SSO與MFA,增強的身分識別存取服務IAM;設備方面的端點管理方案、EDR方案;網路方面,在微分割與最小權限應用上,可設置次世代防火牆,以及網路存取控制(NAC)等。 BIT Mining公司在12月26日發布資安事件公告,說明子公司遭遇網路攻擊,當中表示他們的子公司BTC.com在12月3日遭受網路攻擊,造成公司230萬美元的加密貨幣資產,以及客戶持有的70萬美元加密貨幣遭竊。 金融資安行動方案2.02023 在事件應變方面,該公司表示已在技術上採取行動以攔截駭客,並且通報中國深圳的執法單位,且目前公司營運正常,但沒有公布調查結果,也沒有說明攻擊管道與事件如何發生。
金融資安行動方案2.0: 業務所及之處,資安都得跟上,金融資安整體防護有賴所有產業一起努力
考量資安防護對電子交易達一定比例者的整體營運影響亦大,2.0版將電子交易達一定比例的金融機構納入資安長設置範圍,並規畫定期舉辦資安長聯繫會議。 副主委暨資安長邱淑貞表示,金管會2020年8月公布「金融資安行動方案」執行迄今,已有86%主要績效指標達成、14%持續辦理。 在審視金融科技發展趨勢、國內外資安情勢變化及實務運作情形,並參考國際資安監理政策後,滾動檢討研訂2.0版作為下階段執行準據。
台灣人一年被詐騙 56 億元,等於一家中小銀行全年營收,為了打擊詐騙,台北富邦銀行與台北市政府、警察局今日正式簽訂合作備忘錄,攜手推動「智能防詐生態圈」,透過全台首創的 AI 預警機制,提前示警異常帳戶、打擊詐騙車手,為市民守護金融資產。 就前者而言,兩年前,金管會就開始關注零信任戰略,近年來,不僅歐盟、美國當成網路防護的戰略,在國內,行政院也將開始推動A級機關導入,因此,現在看來時機已到,金管會也希望未來藉由政策推動,讓此方面的進展能往前跨進一步。 另外,在深化核心資料保全上,金管會也將針對各業別,訂定核心系統備援的演練指引,例如針對重要檔案,除了自己儲存,還需要有更多備份或雲端儲存,來保障客戶財產資料。 通盤調整內部稽核相關資料格式,聚焦風險項目,又將內部稽核報告改以網路方式申報,並督促高階管理階層積極落實監督管理之責。 而在硬體供應鏈方面,以伺服器安全元件驗證為例,像是數年前HPE、Dell等業者,都透過矽晶片信任根(Root of Trust)技術的搭配,防範元件與韌體不被惡意程式碼竄改,而在2019年,Google也釋出開源的OpenTitan專案。 包括白名單、郵件無害化、CDR檔案威脅清除技術,以及涵蓋遠端桌面、VDI、RBI的上網隔離(Web Isolation)等技術的崛起與發展,都與零信任概念可以相互呼應,特別的是,近年更出現從單項技術領域擴及產業領域的態勢。
金融資安行動方案2.0: 《金融》金管會強化金融韌性 資安行動方案2.0啟動
金融業者與第三方服務提供者的合作,是生態圈發展關鍵,但是過去,TSP苦於不易符合大型金融業者規模等級的資安合規要求,尤其在eKYC的資安合規,更是雙方合作的最大痛點。 2.0將信賴等級來對照不同業務的風險,等於將不同業務各自需要的資安合規門檻分級,資安需求低的業務,就可以不需要採用信賴度過高的資安機制。 第二個重要新方向則是金管會開始擴大資安政策的範疇,走出金融產業,延伸到金融生態圈的資安,尤其有兩項新措施與金融生態圈資安有關,一是eKYC與業務風險對照,另一項是第三方服務商(TSP)的風險評估與管理。 這幾年,金管會先從金融機構,到上市櫃公司都開始要求不同級別的企業,要逐步設立資安長,林裕泰日前曾指出,祭出這項法令後,民間因此出現了資安主管聯盟、資安長聯誼會等,促進跨業資安長交流,這是金管會所樂見的現象,也希望讓金融業資安長能進行更深化的交流,以及討論金融資安政策。 金融資安行動方案2.02023 現在等於金管會自己出面,建立一個金融資安長的聯繫活動,不只交流,也將具有直接的政策溝通力和影響力。
金管會主委黃天牧早在1.0方案提出時,就訂出金融資安政策要以整體思維來超前部署,尤其,重大資安事件往往不只影響單一機構,甚至可能跨多個產業,攻擊者也可能不是來自少數駭客,而可能來自國家級的機構。 金融資安行動方案2.02023 金管會資服處處長林裕泰表示,不只要促進資安經驗交流,有助於推動資安戰略的研議,更希望能優化資安制度,進行資安事件指揮調度,來強化金融產業對重大資安事件的因應能能力。 為使申報作業機制與時俱進,並提升現有申報效能及安全性,「銀行及票券公司監理資料申報窗口系統」(單一申報系統)將分階段全面導入本國銀行業採API申報方式申報: 1.第一階段:自110年4月起,本國銀行應以API方式申報至少32張報表。 2.第二階段:自111年1月起,本國銀行95張報表全面採API方式申報。
金融資安行動方案2.0: 企業個資外洩頻傳 唐鳳:研議資安法修法做配套
這樣的資安防護態勢轉變,在2022年已經越來越明朗,而到了2023年,即將邁入ZTA實踐階段,特別是身分識別的部分,推動最為顯著。 金融資安行動方案2.02023 其中,39家國銀及3家純網銀已經全數完成資安長設置;證券業對於資安長的要求,從100億元降為40億元;至於保險業尚在評估。 在國內,金管會要求臺灣上市櫃大型企業在2022年底需設置資安長,今年已有多家公司陸續任命,如今台積電亦推出副總經理林錦坤擔任,明年底上市櫃第二級公司也要注意,必須設置資安專責主管與人員。
對此,黃天牧強調,上述6大方案將在3個月內完成,也就是8月,並於未來1、2年間執行,這將有利於金融業體制長治久安,而非以Make money(賺錢)為主要考量。 互盛大陸事業主要為事務機器業務,隨著大陸持續推出刺激總體經濟復甦政策,市場景氣可望逐步回升,互盛大陸的運轉台數將持續累積,創造供服收入,挹注合併營收與獲利。 例如,去年11月Dropbox公布遭駭事件,起因是10月初該公司員工遭網釣,開發人員誤信了假冒CircleCI名義的網釣郵件,駭客不僅騙取了員工的GitHub帳號、密碼,也拿到OTP硬體金鑰產生的一次性密碼;去年8月,思科公布5月察覺遭入侵事件的起因,是該公司員工帳密被竊取後,駭客藉由語音網釣,以及發送大量的MFA登入請求通知,該員工在頻繁通知下按了允許。 例如,美國政府在2021年宣布朝零信任邁進,到了2022年已有多項進展。 IRent、格上租車陸續發生個資外洩事件,繼交通部公路總局開罰後,證交所今也對和泰汽車、和潤、裕融3家公司違反內控制度,...
金融資安行動方案2.0: 金融資安行動方案2.0版3大新方向:資安長聯盟化、生態圈資安和零信任
金管會強調,將持續提升金融機構資安防護能量,建構安全的金融服務發展環境,作為金融科技創新發展之基礎,提供消費者安心、便利與多樣化之金融服務。 金融資安行動方案2.0不只從管理層來打造一個金融業資安體系,更進一步發展跨出金融業,延伸到更大範圍的金融生態圈資安,零信任架構就成了這個龐大體系運作的基礎原則。 另外,2.0版將修訂與第三方合作風險評估相關的規範,也可以讓不同金融機構都有一套共同的TSP風險評估方式,可以讓TSP有一套基本的資安風險要求基準,這也是擴大生態圈的另一個重要基礎。 林裕泰在2.0方案發布記者會上提到,資安長聯繫會議的工作包括了重大資安事件的因應,包括制度優化和指揮調度。 雖然,他沒有明講更多細節,但兩相對照方案計畫內容,聯繫會議要討論的制度優化,就是重大資安事件的虛擬指揮和應變體系的建立,因為這個聯繫會議的參加者,正是日後這個虛擬指揮體系,在各機構的主要負責人,也就是資安長。
但相對而言,對於還沒有這方面作為的企業組織來說,將可當作臨時的解決方案,幫助企業組織過渡到實施更強式的MFA。 對於無法立即實施抗網釣MFA的中小型企業來說,CISA建議採用三種MFA,包括App推送OTP驗證碼、App推送數字配對通知,以及基於Token的OTP。 因此,在上述CISA的導入建議中,最佳首選就是採用抗網釣MFA, 在CISA的指引列出兩種,分別是FIDO/WebAuthn驗證,以及基於PKI的方式。 以Google而言,2014年提出零信任設計與部署方法後,經過多年實踐,2020年更是推出BeyondCorp遠端存取服務,隔年再推出BeyondCorp Enterprise方案。 隨著2023年即將到來,上市櫃第二級公司也要注意設置資安專責主管,以及至少1名資安專責人員的期限會在2023年底。
金融資安行動方案2.0: 〈財經週報- 金融新人事〉突破「事務」思維 學者:金管會新主委應做好三件事
另為強化資安長職責,規劃另定期辦理資安長聯繫會議,就當前資安情勢、推動策略及關鍵議題等共同研商,並增進金融機構間交流與聯防。 金管會並指出,金融資安行動方案2.0版將以三年為期分階段推動,每季檢討成果,隨資安發展趨勢及實務運作情形,調整行動方案內容。 而為利行動方案推動,將透過公私協力、差異化管理、資源共享、並提供激勵誘因,如透過主管機關監理機制,將資安風險因子納為業務准駁、資本計提、存款保險費率、保險安定基金費率之參考因子,引導金融機構主動積極執行資安措施、以及國際合作等五大方式來推動。 邱淑貞指出,重點之一是「擴大資安長設置,定期召開資安長聯繫會議」,在1.0時要求銀行及一定規模以上金融機構設置副總經理層級以上之資安長。 2.0是會將「電子交易達一定比例者」納入推動設置資安長範圍,統籌資安政策推動協調與資源調度。
再者,數位轉型使金融服務場景擴展至「金融生態圈」,金管會規畫針對網路身分驗證(eKYC)運作機制區分信賴等級,並建立與業務風險對照規範,以利業者提供網路金融服務時遵循。 第三方服務提供者(TSP)業務合作的風險評估與管理,亦將納入自律規範研修課題。 此外,自2020到2022年以來,金管會推動金融資安治理成熟度評估,從銀行業、保險業推動到證券業,除了希望金融業瞭解,最基礎的成熟度層級只是最基本的要求,更期待業者能帶頭拉高成熟度等級,促進彼此激勵。 不過,成熟度評估雖然是很好的方式,但要證明資安做得有效,取得國際標準還是較有效的溝通方式,較特別的是,他們現在鼓勵金融機構取得國際持續營運管理標準ISO 22301認證,根據金管會在2022年6月統計,其實目前國內已有不少業者採取行動,包括10家銀行業、5家證券業與5家保險業,已經通過驗證。
金融資安行動方案2.0: 資安行動2.0方案出爐 金管會定期辦理資安長會議
例如,長期致力於確保開源軟體安全的Google,在2022年10月推出Software Delivery Shield,這是針對軟體供應鏈而來,當中不僅是從軟體交付生命週期的每個階段增強安全,為了幫助整個供應鏈能在信任鏈進行建立、維護與驗證,因此,它們提供基於信任的策略引擎。 在網路安全零信任轉型的議題之下,身分識別更是零信任基礎中的重要環節之一。 金管會今首度召集所有金融機構資安長召開會議,共有79家金融業資安長透過線上或實體參與,包含金控、銀行、保險、證券、證交所、期交所、櫃買中心、集保公司、財金公司等。 為了因應企業數位轉型需求,互盛將持續透過「智能化」數位平台,包含智能客服中心、顧客APP、智能預判、遠端維修等平台,提供顧客即時服務;並結合VR虛擬展廳,提供顧客虛擬實境的互動體驗,有效整合線上與線下服務,運用及分析大數據資料,提供顧客精準的服務時機與內容。
美國以聯邦機構為主,所影響的是帶動了相關資訊產業的產品和環境必須擁抱零信任架構,美國國防部更是訂出了一套零信任框架與藍圖,對於商用雲端服務更有一套詳細的零信任規範,這都間接帶動了資訊業者擁抱零信任。 零信任架構雖然全球火熱,但美國、歐盟等都以政府機關為對象來推動零信任架構,只有少數如新加坡是鼓勵關鍵基礎設施提供者在關鍵系統上採用零信任架構。 因此,談到軟硬體供應鏈安全,如今也都持續聚焦在信任方面的議題,使得透明度成為重點,像是確認每個第三方元件均來自可信任的來源等,以及建構可信賴供應鏈等,畢竟,有了「信任」會是整體環節能順利運作的重要關鍵。 金融資安行動方案2.0 儘管將ZTA從網路安全類比、應用到其他領域,尚未發展成熟,也不完全適用所有層面,但值得留意的是,關於上述「供應鏈安全」的議題,如今也是與零信任網路安全並駕齊驅的重要議題,而且兩者都圍繞在信任議題之上。 而2022年的一些發生在國際的資安攻擊事件,也印證了此一威脅態勢的進化──隨著越來越多企業採用MFA,攻擊者除了竊取帳號密碼,如今也聚焦如何突破MFA的防護。
