金融資安即國安 資安國造打造韌性產業鏈
「2023金融資安大趨勢論壇」聚焦金融資安未來發展趨勢及解決方案,為金融產業建立金融資訊安全防護網,圖由左至右分別為社團法人台灣E化資安分析管理協會理事長王旭正、國立台北科技大學副校長楊士萱、普鴻資訊董事長林群國、商周集團總經理朱紀中、星展銀行資深副總裁李嘉銘、財團法人金融聯合徵信中心副總經理鄭祺耀、普鴻資訊資深副總經理官哲弘、Confluent 北亞區聯盟及合作夥伴總監湯懿薇。
2022/11/22 商業周刊
「資安即國安」除了政府之外,從企業到個人,沒有人可以置身事外,《商業周刊》、普鴻資訊、社團法人台灣E化資安分析管理協會共同主辦「2023金融資安大趨勢論壇」邀集各界專家學者及業界精英,從硬體到軟體、從設備到人才,深入探討「資安國造」的勢在必行。
普鴻資訊董事長林群國舉例,二次世界大戰的中途島戰役,就是因為美軍破解的日軍的密碼,成功攔截日本進犯的航空母艦,讓二次大戰的發展為之丕變;台灣擁有傲視全球的資通訊(ICT)產業,推動「資安國造」不但資訊安全操之在己,所有供應鏈台灣皆可自給自足,打造出更具韌性的供應鏈。
打造資安產業 訂定HSM標準不容緩
資安產業鏈的基礎,就在於硬體安全模組(HSM),也就是亂碼化設備上。
財團法人台灣聯合徵信中心副總經理鄭祺耀表示,亂碼化設備是資料加密最基礎的一環,不僅是金融業,所有的產業都有需求,若要推動「資安國造」成為一個產業,第一步就是由國家級的單位訂定相關的標準及認證機制,包括運算邏輯、基碼、識別認證、交貨、營運、備援與稽核等,學界可藉此進行教育訓練,業界也才有可供遵循的準則。
星展銀行資深副總裁李嘉銘也認為,尤其是對資安要求更為嚴格的金融業,無論是對內的員工以及對外的客戶,都需要做到端到端加密(End-to-end encryption),本土廠商生產的HSM可針對業者需求進行客製化調整,並內建金鑰防護,這是唯有本國廠商較能配合的彈性化部署。
李嘉銘分析,過去對資安防護的觀念是務求「滴水不漏」,然而在金融科技的發展下,透過「核身」防止固定密碼被竊取,就能有效防止駭客入侵,包括雙重認證(two-factor authentication)、一次性密碼(OTP)、憑證簽章,目前正在推動的金融行動身分識別標準化機制(金融FIDO)、行動自然人憑證,乃至於電子簽名(E-Sign),建構零信任的第一道防線,
除此之外,安全資訊事件管理系統(SIEM)也是資安的重要防線,Confluent北亞區聯盟及合作夥伴總監湯懿薇指出,過去SIEM系統架構將來自不同來源的資訊,對應到不同的監測系統,若系統間不互通,容易出現資訊的孤島,下一代SIEM除了整合不同系統、讓整體系統更具彈性外,也要讓資安系統的反應更為即時、進而篩掉雜訊、集中處理能力、降低資安成本。
從硬到軟一條龍 發揮國造優勢
普鴻資訊資深副總經理官哲弘說,在金融科技發展日新月異下,包括交易內容的安全及個資安全都需要被確保,但傳統資安架構從亂碼化設備、交易安全介面(SUIP)到應用系統(AP)的供應商各吹各的調,一旦交易或系統本身發生問題,常常互踢皮球、徒增排除問題時間,國際品牌的設備也可能在產品世代汰舊換新之際成為硬體孤兒。
「資安國造」的優勢,在於從硬體設備到系統整合一把抓,大幅降低企業成本、可以快速提供客戶所需服務,尤其是當主管機關發布具本土特色的資安相關協議(protocal)時,可以快速回應。普鴻資訊從亂碼化設備、SUIP到前端AP都具備研發能量,也符合包括財金公司、台灣票據交換所及聯合信用卡處理中心(NCCC)的鞍控需求,硬體上也可以做到系統365天、7 X24小時的不間斷運作。
官哲弘強調,普鴻資訊不僅僅將資安侷限在「賣硬體」,而是視為「從硬到軟」的一條龍服務,除了提供所有台灣要求的安全規範,也提供完整的API(應用程式開發介面),支援多介面呼叫及通道加密等功能,未來包括區塊鏈、後量子運算的加密也都有能力支援。
資安文化待塑造 合作取代競爭打造韌性
「資安國造」的另一個面向,就是補足資安人員的缺口,台灣金融研訓院副院長林仲威估計,國內至少需要8萬名資安人員,還有4萬名的缺口待補,金融研訓院每年培訓3000名資安人員,光靠新血加入緩不濟急,如何協助既有員工轉型升級,需要文化的養成及塑造。
第一金控執行副總經理暨資安長劉培文也認為,資安人員的人力缺口及訓用落差是結構性問題,企業要培養屬於自己的核心競爭力,應該要建立自己的「黃埔軍校」,透過對齊企業戰略、辨別核心職能、賦能融合團隊、結合實驗迭代、在職以戰代訓及創新人培流程等原則,才能面向未來破壞式環境及新型態駭客攻擊,以更敏捷的訓練方式持續學習未來技能。
林仲威強調,資安只有合作、沒有競爭,台灣若要在金融科技與數位轉型發光發熱,需有更好的資安基礎做後盾,尤其是金融機構的營運韌性需要整合多方資源,透過資安聯防,增進台灣整體資安防護力及韌性,「工欲善其事、必先利其器」,「資安就是國安」不是口號,有了台灣ICT的優勢,必可創造台灣在資安產業的價值。
