另外,在深化核心資料保全上,金管會也將針對各業別,訂定核心系統備援的演練指引,例如針對重要檔案,除了自己儲存,還需要有更多備份或雲端儲存,來保障客戶財產資料。 通盤調整內部稽核相關資料格式,聚焦風險項目,又將內部稽核報告改以網路方式申報,並督促高階管理階層積極落實監督管理之責。 而在硬體供應鏈方面,以伺服器安全元件驗證為例,像是數年前HPE、Dell等業者,都透過矽晶片信任根(Root of Trust)技術的搭配,防範元件與韌體不被惡意程式碼竄改,而在2019年,Google也釋出開源的OpenTitan專案。
至於相關重點,包括擴大資安長設置,定期召開資安長聯繫會議,金管會已修訂各業別內部控制規範,要求銀行及一定規模以上金融機構設置副總經理層級以上之資安長。 考量電子交易達一定比例者,其資安防護對整體營運影響亦高,爰併納入推動設置資安長範圍,統籌資安政策推動協調與資源調度。 另為強化資安長職責,規劃另定期辦理資安長聯繫會議,就當前資安情勢、推動策略及關鍵議題等共同研商,並增進金融機構間交流與聯防。 金管會並指出,金融資安行動方案2.0版將以三年為期分階段推動,每季檢討成果,隨資安發展趨勢及實務運作情形,調整行動方案內容。 而為利行動方案推動,將透過公私協力、差異化管理、資源共享、並提供激勵誘因,如透過主管機關監理機制,將資安風險因子納為業務准駁、資本計提、存款保險費率、保險安定基金費率之參考因子,引導金融機構主動積極執行資安措施、以及國際合作等五大方式來推動。
金融資安行動方案2.0: 金融資安行動方案2.0出爐 3年推40項措施
值得關注的是,金管會計畫要以零信任架構重新檢視多項金融資安議題,來修訂相關資通系統安全自律規範,包括內外部網路的資源存取、網段隔離、邊界防護等議題。 這可能會將零信任帶到更多領域,甚至延伸到金融生態圈也需要跟進支援零信任架構的要求。 金融業者與第三方服務提供者的合作,是生態圈發展關鍵,但是過去,TSP苦於不易符合大型金融業者規模等級的資安合規要求,尤其在eKYC的資安合規,更是雙方合作的最大痛點。 2.0將信賴等級來對照不同業務的風險,等於將不同業務各自需要的資安合規門檻分級,資安需求低的業務,就可以不需要採用信賴度過高的資安機制。 第二個重要新方向則是金管會開始擴大資安政策的範疇,走出金融產業,延伸到金融生態圈的資安,尤其有兩項新措施與金融生態圈資安有關,一是eKYC與業務風險對照,另一項是第三方服務商(TSP)的風險評估與管理。
就像近年釣魚網站威脅持續嚴峻,金融機構不僅要告訴客戶如何使用服務,對於防護這些身分被竊取的偵測,需逐步加強,才能保護客戶。 金融資安行動方案2.02023 金管會強調,將持續提升金融機構資安防護能量,建構安全的金融服務發展環境,作為金融科技創新發展之基礎,提供消費者安心、便利與多樣化之金融服務。 金融資安行動方案2.0不只從管理層來打造一個金融業資安體系,更進一步發展跨出金融業,延伸到更大範圍的金融生態圈資安,零信任架構就成了這個龐大體系運作的基礎原則。
金融資安行動方案2.0: 業務所及之處,資安都得跟上,金融資安整體防護有賴所有產業一起努力
金管會資服處處長林裕泰表示,不只要促進資安經驗交流,有助於推動資安戰略的研議,更希望能優化資安制度,進行資安事件指揮調度,來強化金融產業對重大資安事件的因應能能力。 為使申報作業機制與時俱進,並提升現有申報效能及安全性,「銀行及票券公司監理資料申報窗口系統」(單一申報系統)將分階段全面導入本國銀行業採API申報方式申報: 1.第一階段:自110年4月起,本國銀行應以API方式申報至少32張報表。 2.第二階段:自111年1月起,本國銀行95張報表全面採API方式申報。 其中,零信任供應鏈架構的發展,逐漸成為關注焦點,隨著美國政府祭出晶片法案,以及美國防部推行網路安全成熟度模型認證(CMMC),在這些體系之下,所強化的供應鏈信任度,以及防滲透能力,也將讓國際各種產業之間的安全架構與相互合作,形成不同面貌。 還有應用程式存取管控,以及情境感知認證與異常偵測,包含威脅情資、日誌管理與自動化監控的搭配,此外還有DNS請求與HTTP流量的加密,資料的加密與安全控管方案,資料外洩防護DLP等諸多面向。
重點之一是「擴大資安長設置,定期召開資安長聯繫會議」,在1.0時要求銀行及一定規模以上金融機構設置副總經理層級以上之資安長。 金管會表示,「金融資安行動方案2.0」預計以3年為期、分階段推動,每季檢討成果,並透過公私協力、差異化管理、資源共享、激勵誘因及國際合作等5方式推動,希望強化金融業資安防護力,達成安全、便利、營運不中斷目標。 金管會資服處長林裕泰表示,經與金融周邊單位、金融同業公會與金融機構公私協力積極執行下,主要績效指標(如設置資安長、導入國際資安標準、辦理資安攻防演練與競賽、建立金融資安事件應變體系等項)均已達成,占全計畫86%,持續辦理項目占比14%。 金融資安行動方案2.0 【時報記者林資傑台北報導】金管會為強化金融業資安防護能力,宣布啟動為期3年的「金融資安行動方案」2.0版,規畫以5方式分階段推動40項措施,以呼應蔡英文總統指示強化金融韌性及應變機制,落實安全、便利及不中斷的金融服務。 為回應總統蔡英文指示強化金融韌性、建立有效應變機制,確保整體經濟及金融的穩定,金管會主委黃天牧祭出四新政,其中資安是重要項目之一。 金管會副主委暨資安長邱淑貞27日宣布,啟動為期三年的「金融資安行動方案」2.0,將祭出擴大資安長設置、定期召開資安長聯繫會議等40項措施。
金融資安行動方案2.0: 企業個資外洩頻傳 唐鳳:研議資安法修法做配套
金管會指出,在2.0中也會修正自律規範,主要有三點,一是eKYC與業務風險對照安控基準、二是第三方合作評估與風險管理、三、因應新型態網路攻擊行為(DeepFake、混合式網路釣魚等)。 另為確保金融機構於關鍵時刻能有效運作,也規劃依據行業特性訂定核心業務系統備援演練指引(如本異地備援實際運作、切換時效要求等項),以提供金融機構遵循。 再者,數位轉型使金融服務場景擴展至「金融生態圈」,金管會規畫針對網路身分驗證(eKYC)運作機制區分信賴等級,並建立與業務風險對照規範,以利業者提供網路金融服務時遵循。
- 金管會主委黃天牧早在1.0方案提出時,就訂出金融資安政策要以整體思維來超前部署,尤其,重大資安事件往往不只影響單一機構,甚至可能跨多個產業,攻擊者也可能不是來自少數駭客,而可能來自國家級的機構。
- 全球都在關注的網路安全零信任轉型,在多年討論後,現在不只企業組織相當重視,過去一年,我們更是看到多國政府也大力提倡,成為大勢所趨。
- 車手提款部分,蔡佩玲表示,AI 智能預警模型則會自動將發生在北富銀 ATM 的可疑交易資訊對台北市警局進行通報,由巡警加強巡查,及時攔阻車手提款,避免受害者財損擴大,透過科技賦能與創新思維,創造更便利安全的金融生活。
- 為了促進會員分享威脅情資,金管會今年建構了情資管理分析的平臺,並隨著7月發布的情資分享辦法出爐,從雜湊值、IP位址、網域名稱、網路/主機產物(HTTP Header或Mail Header分析資訊、攻擊者於主機留下特定字串或值),一直到攻擊工具,以及攻擊手法TTP,定義出情資影響力,期望提升情資分享動能,讓會員分享速度可以再提升。
- 這可能會將零信任帶到更多領域,甚至延伸到金融生態圈也需要跟進支援零信任架構的要求。
過去幾年,金管會大力培育各金融機構的資安戰力,未來若透過各機構資安長,組成了一個跨機構的重大資安事件虛擬組織,也能將這群原本分散各公司的資安戰力整合起來,聯手一起對抗跨產業等級的重大資安威脅。 值得注意的是,HPE、Dell、Intel、AMD、博通、高通等廠商合作,在開放IT管理標準組織DMTF之下,開發「安全協定與資料模型(Security Protocol and Data Model,SPDM)」,此舉有助於打破各供應商RoT技術不相容的局面。 當中還提到一些實作上的重點,像是:MFA必須執行在應用層,而不是網路層;除了機構工作人員需要使用抗網釣的多因素驗證,委外合約商及合作夥伴也不能例外;當授權用戶存取資源時,機構必須考慮驗證至少一個裝置層級的訊號,以及關於用戶的身分資訊。 另外,除了這份CISA的指引內容,在前述美國聯邦零信任戰略的M-22-09備忘錄當中,對於5大面向的識別(Identity)部分,同樣也指出,機構工作人員須使用企業級的識別方案來存取應用程式,並使用可抵抗網釣的MFA,以防護使用者受到複雜的網路攻擊。
金融資安行動方案2.0: 企業資安事件頻傳 金管會規定金融業須於30分鐘內通報
第3、信託業務2.0:深化國內信託業務,包括跨業結盟等;第4、金融科技發展路徑圖,金管會將收集業者意見,進一步檢討金融監理沙盒,考慮將降低申請門檻等。 另外,在協助企業實踐節能低碳方面,互盛整合智能視訊系統、低耗能列印輸出設備、LED燈具模組,以及資安防護解決方案及服務,滿足企業顧客ESG永續發展的需求。 車手提款部分,蔡佩玲表示,AI 智能預警模型則會自動將發生在北富銀 ATM 的可疑交易資訊對台北市警局進行通報,由巡警加強巡查,及時攔阻車手提款,避免受害者財損擴大,透過科技賦能與創新思維,創造更便利安全的金融生活。 為了促進會員分享威脅情資,金管會今年建構了情資管理分析的平臺,並隨著7月發布的情資分享辦法出爐,從雜湊值、IP位址、網域名稱、網路/主機產物(HTTP Header或Mail Header分析資訊、攻擊者於主機留下特定字串或值),一直到攻擊工具,以及攻擊手法TTP,定義出情資影響力,期望提升情資分享動能,讓會員分享速度可以再提升。
- 以次世代防火牆(NGFW)聞名的網路資安設備業者Palo Alto Networks,2021年宣布公司產品已朝向零信任網路安全發展,到了2022年,他們更是喊出要升級至ZTNA 2.0的口號。
- 北富銀金融安全部副總經理蔡佩玲說明,一般詐騙案件中,通常會有兩個重要的金流關鍵點,第一個是引導被害人把錢轉入人頭帳戶,第二個則是透過車手把人頭帳戶的錢提領出來,而「智能防詐生態圈」就是提前設定攔阻機制,增加阻詐成功率。
- 第三方服務提供者(TSP)業務合作的風險評估與管理,亦將納入自律規範研修課題。
- 2.0版推動藍圖,除了在政策面和管理面新措施,如定期舉辦資安長聯繫會議,也因應金融業數位轉型需求來修訂相關自律規範,另外,為了深化資安強度,將鼓勵金融機構採用零信任架構,擴大推動資安監控機制,也要重視金融核心資料的保全。
- 就後者而言,身分驗證在金融業運用廣泛,只是過去並沒有統一的驗證標準,隨著現今在不同業務有很多運用方式與變形,因此金管會正在與銀行公會討論,建立多元金融身分驗證框架級標準,他們希望不只是金融業,其他產業也能用得上。
- 北富銀董事長陳聖德表示,客戶將財產託付給銀行,北富銀就有義務盡最大努力,為客戶設下更安全的防線,因此在詐騙防治,北富銀結合金融科技,透過 AI 智能及大數據分析詐欺類型與交易模式,提早識別可疑帳戶,並適時給予客戶友善提醒,幫助客戶防範損失於未然。
因此,我們也會看到各方資安領域業者,有許多都在呼應零信任,或是打出零信任旗幟。 金管會副主委邱淑貞也指出,我國在金融業務方面推動,大幅運用數位資訊,整個資安防護跟業務發展,要與時俱進。 針對金管會主委黃天牧提出金融資安行動方案2.0,金管會說明,主要是呼應總統日前的提示,要強化金融韌性及應變機制;此方案是強化金融韌性的重要基礎,目的要落實安全、便利、不中斷的金融服務。 不僅如此,要求設置資安長、資安主管與專責單位的要求,今年也從只針對金融機關,擴大到上市櫃公司,金管會將要求不同級別公司,逐步在三年內實施。 林裕泰指出,在祭出這項法令後,民間也因此出現了資安主管聯盟、資安長聯誼會等,促進跨業資安長交流,這是金管會所樂見的現象,也希望讓金融業資安長能進行更深化的交流,以及討論金融資安政策。 金管會建議,金融業分階段導入零信任網路三大核心機制,包括身份鑑別、設備鑑別、信任推斷,也得搭配網路與資源的細化權限管控機制。
金融資安行動方案2.0: 《金融》金管會強化金融韌性 資安行動方案2.0啟動
例如,之前要求金控設副總層級資安長,後續擴大要求本國銀行、純網銀,以及一定規模的保險與證券期貨,都要設置資安長,目的就是讓資安長能夠由上而下調動各種資源,來支持組織資安的發展。 目前而言,計有40家銀行、11家保險公司,以及22家券商設置副總層級資安長:另外,金管會也鼓勵金融業遴聘具資安背景的董事、顧問,或設置資安諮詢小組,相當多金融業都有行動,目前也已有58家金融機構這麼做。 在零信任之外,金管會日後另一重點是要推動多元金融身分驗證框架及標準,金管會與銀行公會正持續討論,參照國際標準ISO 金融資安行動方案2.0 29115,建立多元框架,希望不只適用於金融業,跨產業也能運用。 隨後,金管會資訊服務處處長林裕泰也揭露金融資安行動方案推動兩來年的成果,並透露金管會日後規畫的考量,其中網路安全零信任戰略,以及金融身分驗證框架級標準的建構,將是兩大重點。
因此,談到軟硬體供應鏈安全,如今也都持續聚焦在信任方面的議題,使得透明度成為重點,像是確認每個第三方元件均來自可信任的來源等,以及建構可信賴供應鏈等,畢竟,有了「信任」會是整體環節能順利運作的重要關鍵。 儘管將ZTA從網路安全類比、應用到其他領域,尚未發展成熟,也不完全適用所有層面,但值得留意的是,關於上述「供應鏈安全」的議題,如今也是與零信任網路安全並駕齊驅的重要議題,而且兩者都圍繞在信任議題之上。 而2022年的一些發生在國際的資安攻擊事件,也印證了此一威脅態勢的進化──隨著越來越多企業採用MFA,攻擊者除了竊取帳號密碼,如今也聚焦如何突破MFA的防護。 由於假合作廠商名義的威脅早已時有所聞,若收到訊息的人要開啟可疑的檔案,建議應在隔離的測試環境或VM執行。 卡巴斯基在12月27日針對MoTW繞過的攻擊手法提出警告,指出他們最近發現許多攻擊者開始這麼做,例如,他們發現APT駭客Lazarus Group旗下BlueNoroff組織,正使用新的伎倆來欺騙這項安全機制。 簡單來說,MoTW的安全功能,會針對從網路下載的檔案給予一個標籤,因此攻擊者開始把真正的攻擊酬載(Payload)像是誘餌文件、惡意腳本,隱藏在像是ISO或VHD的檔案格式。
金融資安行動方案2.0: 〈財經週報- 金融新人事〉突破「事務」思維 學者:金管會新主委應做好三件事
以次世代防火牆(NGFW)聞名的網路資安設備業者Palo Alto Networks,2021年宣布公司產品已朝向零信任網路安全發展,到了2022年,他們更是喊出要升級至ZTNA 2.0的口號。 微軟在2021年4月,分享了以零信任模型保護內部網路安全的經驗,隔年6月也說明他們如何實作,將零信任模型融入自家產品架構,包括在Microsoft 365與Azure雲端服務實踐零信任,也提出將零信任概念用在IoT解決方案的作法。 全球都在關注的網路安全零信任轉型,在多年討論後,現在不只企業組織相當重視,過去一年,我們更是看到多國政府也大力提倡,成為大勢所趨。 此外,金管會將邀請各機構舉行「資安長會議」,若屬於重大議題和政策性內容,將每半年定期舉辦一次,至於作業性的部分,由銀行保險證券各局不定期召開。 回顧過去,為追求安全便利不中斷的金融服務,金管會於2020年8月發布金融資安行動方案,執行迄今已逾兩年。 重大個資外洩事件頻傳,數位發展部長唐鳳表示,在數位部聯防的新機制裡面,除了第一時間通報外,今(23)日也會同資安院及商業...
同時,擴大導入國際資安管理標準及建置資安監控機制,規劃依據業別特性,訂定國際資安管理標準的驗證範圍如資訊基礎設施、全部核心資通系統、核心業務流程、網路金融服務等,並建立資安監控作業基準如組織、作業程序、監控範圍、資安威脅偵測與管理機制等),擴大推動至具一定規模或電子交易達一定比例的金融機構。 為追求安全便利不中斷的金融服務,金管會在20201年8月6日發布金融資安行動方案,執行迄今已逾2年,為因應業務發展與科技進步,持續提升金融機構資安防護能量,金管會滾動檢討研訂金融資安行動方案2.0版,作為下一階段執行的準據,並以擴大適用、落實與深化、鼓勵前瞻為持續精進方向,訂有40項措施,其中新增資安措施計12項、擴大適用範圍計5項、持續性措施計23項。 舉例來說,在強化新興科技的資安防護面向上,除了要陸續增修訂新興金融科技資安自律規範,包括App、雲端服務、開放銀行、網路身分驗證,供應鏈風險評估,同時,他們也在持續關注攻擊樣態與事件,包括Deepfake、IoT安全等,將考量納入資安資訊規範。 同時,林裕泰引用了2022 iThome CIO大調查的金融業企業資安風險圖來說明,除了普遍關注的資安威脅,也要注意新進的熱門威脅,像是以第三方為跳板的攻擊,以及在客戶端發生的資安事件,他認為,這也是與近兩年威脅現況改變有關。 資安行動方案2.0其他重點,還包括:「鼓勵資安監控與防護之有效性評估」、「鼓勵零信任網路部署,強化連線驗證與授權管控」、「鼓勵配置多元專長資安人才,擴大攻防演訓量能提升資安情資分享動能」及「辦理資安攻防演練,規劃重大資安事件支援演訓」。 中華軟協成立至今已邁入40週年,在長期配合政府政策推動企業數位轉型,鏈接資訊軟體系統應用與各種跨域產業數位轉型需求,打造優質的數位轉型服務平台。
金融資安行動方案2.0: 企業資安事件頻傳 金融業發生資安事件須於30分鐘內通報
在國內,金管會要求臺灣上市櫃大型企業在2022年底需設置資安長,今年已有多家公司陸續任命,如今台積電亦推出副總經理林錦坤擔任,明年底上市櫃第二級公司也要注意,必須設置資安專責主管與人員。 在資安分析技術不斷進步之下,攻擊者也持續找出新的規避偵測的技術,本日有兩起資安人員研究公布亦突顯此一情形,包括新的Shellcode技術與新繞過Windows MoTW的方法。 微風集團昨天發生個資外洩事件,數位部長唐鳳今(23)日出席2023金融科技趨勢論壇時指出,微風的主管機關經濟部商業司跟數... 第5、保險業新一代清償能力的制度藍圖:為強化保險業財務健全,及承擔風險能力,將研議國際保險資本標準(ICS) 2.0,讓國內保險業參採測試,以利於國際競爭力 ,尤其有助於國際會計準則IFRS17接軌。 北富銀金融安全部副總經理蔡佩玲說明,一般詐騙案件中,通常會有兩個重要的金流關鍵點,第一個是引導被害人把錢轉入人頭帳戶,第二個則是透過車手把人頭帳戶的錢提領出來,而「智能防詐生態圈」就是提前設定攔阻機制,增加阻詐成功率。 金管會副主委邱淑貞表示,資安長聯繫會議暫定半年舉辦一次,遇到重大議題,會由她親自主持。
對於臺灣而言,政府明確指出在2023年要推動零信任網路架構,首先導入的部分,是資通安全責任等級的A級公務機關。 金融資安行動方案2.0 在2022年7月,行政院國家資通安全會報技術服務中心表示,會先遴選機關試行導入,並預計在三年內,分階段逐年導入零信任網路的3大核心機制:身分鑑別、設備鑑別,以及信任推斷。 同時,提升資安情資分享動能,增進資安聯防運作效能,督導金融資安資訊分享與分析中心(F-ISAC)持續加強情資分析的深度及廣度,並深化與會員間之情資分析與交流,以利及時提供更為精確完整的早期預警與防護建議。 另將輔導金融機構SOC導入依據網路攻擊行為樣態研訂的資安監控組態基準(包含異常事件觸發及關聯分析規則等),並以此為基準研訂與聯防SOC協作的監控組態與事件單觸發規則,以增進聯防SOC對金融機構饋送事件單關聯分析之即時性及有效性,並利資安監控情資的回饋,提升金融機構SOC與聯防SOC協同運作效能。 另深化核心資料保全及營運持續演練,將研議並鼓勵重要金融機構強化重要核心資料保全機制,規劃依據行業特性訂定核心業務系統備援演練指引如本異地備援實際運作、切換時效要求等項;也鼓勵金融機構併同外部關聯單位辦理資通系統聯合演練,以應災害備援實務需求。
金融資安行動方案2.0: 服務
為確保金融系統營運不中斷,金管會今天(27日)發布「金融資安行動方案」2.0版,以擴大適用、落實與深化、鼓勵前瞻為主軸,訂定40項措施,盼能強化金融業資安防護能力。 其次,為使民眾的存款資料、保險資料等,無論遇到任何重大資安事件或天然災害等風險都不會流失,金管會將研議並鼓勵重要金融機構強化重要核心資料保全機制,包括核心資料檔案、資料庫加密與分持,儲存於第三地或雲端備份等機制。 於IMD世界競爭力排名中,台灣的基礎建設項目排名也自2017年的21名,評比逐年提升至2023年的12名,顯見前瞻基礎建設之推動,已積極提升我國各項基礎環境,並獲國際評比之肯定,也成為厚實我國國際競爭力動能。
