掌握金融趨勢 培育資安人才
隨著資安升級成國安問題,全球各界對資安人才需求暴增,也引爆極為嚴重的人才荒。教育部先進資通安全實務人才培育計畫舉辦資安人力高峰論壇,配合產業界資源的投入,強化學生資安實務技術能力,協助培育資安實務技術人才。
文/林裕洋
為落實資安觀念向下扎根,鼓勵年輕學子投入資訊安全領域,教育部先進資通安全實務人才培育計畫與 CIO IT 經理人雜誌攜手合作,於2022年10月28日舉辦「金融產業跨域資安人力高峰論壇」,邀請多位金融產業資安主管分享金融產業端對於資安人才的需求。另一方面也邀請多位在大專院校負責資訊安全相關課程的老師到現場與產業直接交流,希望藉此難得盛會,拉近產業及學界的距離,消弭資安人才需求的落差,所以也吸引爆滿的莘莘學子熱情參與。
金管會資訊服務處長林裕泰說明,在強化公司資訊安全管理機制,2021年底金管會修正「公開發行公司建立內部控制制度處理準則」,明訂資本額破 100 億、前 50 大市值的上市櫃公司,需在2022年前設置資安長,其餘上市櫃公司也都須在2023年前對應的資安人力。因應金融產業對資安人才的強烈需求,金管會也發佈了金融資安職能地圖,包括開設金融資安人才養成專班,也希望透過產學、跨業合作,培育跨領域的資安人才,為台灣產業培育所需的資安人才。而2020年推出的金融資安行動方案,則是分別從強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能等四個面向切入,希望作為各金融機構及公會檢討資安策略、管理制度及防護技術等遵循的指引,以追求安全便利不中斷的金融服務。
玉山制定資安職能 負責專屬資安內容
玉山金控資安長劉懷聰說,在現今網路安全趨勢下,金融業可能遇到的資安風險非常多元,大致上有遵循法規與主管機關要求、社交工程攻擊、供應鏈攻擊、物聯網與基礎架構攻擊、零時差威脅與多樣態攻擊、缺乏混合環境統一管理政策。
因應資安威脅事件,玉山金融資安職能框架也分成 7 類,如資安檢測人員為例,涵蓋原始碼檢測、主機弱點掃描、網頁弱點掃描等檢測工作,並可提供專業的改善與修補建議。在風險評估部分,則需具備專業的查核、資安風險審查以及法令遵循能力。在事件應變組部分,負責制定相關應變程序、工具、並熟悉事件、調查工具與手法,以便在事件發生時,能有效、快速的降低企業損失。
至於資安治理部分,負責制定全行一致性的資訊安全標準與政策,並針對海內與海外之營運特性進行資安管理。資安監控部分,針對駭客攻擊手法、資安防護設備特性撰寫偵測規則,以利受攻擊的第一時間,通報資安與資訊人員進行立即阻攔。
防堵未知資安威脅 國泰金控規劃資安藍圖
國泰金控副總經理林佩靜表示,目前金融產業面臨挑戰大致上可分為易變性、不確定性、複雜度、模糊性等,而資安人才也是不容忽視的重點。有別於傳統資訊服務業者,金融產業資安人才主要是防護自家的企業為主,所以需要懂委外廠商的控管、配合方式,需要比較廣的資安知識、具備產業特別的知識跟紀律,適合想耕耘單一家公司的人才,且工作環境比較穩定。
因應公司營運需求,國泰金控資安部分成統合治理、聯防架構、數位資安、監控應變等四組,工作任務也完全不同。統合治理主要負責資安政策與規範訂定、資安風險與合規檢視。聯防架構則是負責資安防禦機制妥適性檢視、評估國際資安防護框架及方法。數位資安工作項目為建立雲端資訊安全、建立一致性新技術安全程序、規劃數位轉型專案資安框架,以及建立新興科技資安標準。最後的監控應變小組,則是負責建構金控級資安的 ISAC、SOC、CERT 等三大功能中心,以及建立各項演練流程。
維持台灣金融交易穩定 集保所層層防護
臺灣集中保管結算所副總經理張秀珍指出,金融產業向來是駭客鎖定的攻擊目標,有多項與金融資安威脅趨勢值得注意。首先是勒索病毒猖獗,不斷變化和演進,如有駭客看準威聯通產品的系統弱點,分別在2022年1月26日、9月3日等發動攻擊,導致使用該產品用戶被駭客利用勒索軟體加密,進而被勒索比特幣。其次,則是社交工程攻擊手法持續翻新,如2022年8月11日思科表示在同年5月下旬遭駭客入侵,起因是員工的 Google 帳號被駭,駭客竊得 2.75 GB 資料, 內含 3,100個檔案。
再者則是供應鏈攻擊成為金融機構的重要風險,如裴洛西訪台期間,台鐵、7-11、地方公務機關廣告看板,出現駭客以簡體字辱罵裴洛西的事件,初步調查為廣告媒體在系統裡面有使用中國軟體。而根據趨勢科技調查顯示,表示逾七成台灣企業供應鏈曾遭勒索病毒襲擊,遠高於全球。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
在保護台灣金融交易安全下,臺灣集中保管結算所在資安職能需求上,採取資安治理、安全開發、資安維運等編制,其中資安治理組負責資安策略的制定、資安認知的教育訓練、資安認證的推廣、資安稽核。安全開發組負責安全開發規劃與設計、SSDLC、Code Scan 等工作。至於資安維運組方面,負責資安設備維運、資安檢測、修補、追蹤、SOC 建置與維運、資安事件的應變處置。
阻擋資安威脅 彰銀採取兩道防線
彰化商業銀行資安長陳斌指出,現今金融資訊及資安趨勢分別是「小核心、大周邊」、「金融科技 & Bank 4.0」,以及資安地位提升。早期銀行都是採用大型主機架構,負責執行核心銀行系統等眾多系統,其具備高穩定、高效能的特性,在全球市場深受用戶歡迎。只是隨著進入消費者體驗為主的新世代,此種大架構已難以回應市場需求,所以勢必要透過走向小核心、大周邊模式,才能依照市場變化快速調整應用程式架構,為消費者量身打造最合適的金融服務。
因應無孔不入的資安威脅,目前彰化商業銀行採取兩道防線機制,所以資訊安全處分成兩大單位,資安管理科由政策合規專員、安全維運專員組成,資安技術科則由系統安全專員、網路安全專員組成。我們建議有意從事資安工作的人,應該具備 5 大特質及能力,分別是獨立思考與研究能力、歸納及整理能力、具備良好溝通協調、團隊合作精神、自我學習能力。
本次金融產業跨域資安人力高峰論壇創造了一個難得的機會,讓在場的老師及年輕學子對於金融產業在資安這個領域的佈局及人才需求有更深一層的認識,也期許在未來有更多的產學合作與實習機會,讓學生可以補足對於產學的知識與應用場景的體驗!
(本文授權非營利轉載,請註明出處:CIO Taiwan)
