在日本311事件發生的4個月前,福島核能電廠依據《原子力災害對策特別措置法》規定,辦理了核能綜合防災訓練演習,只是沒有想到演習事件竟然成真!該次的演習經驗成為福島核電廠員工災後的工作遵循,同時還減少災難發生時的徬徨感,也盡可能降低損失。
具備防災思維是相當必要的,尤其是對當今的金融業而言。隨著金融科技發展,金融產業運用數據演算以及讓服務上雲已經成為下階段發展的必要方向。然而,資訊安全的挑戰持續不斷,藉由科技創新提供更便利的金融服務時,卻也讓機構以及消費者的資訊與資產暴露於更多的資安挑戰之下。
這些風險多種多樣,從試圖盜取個人帳號密碼的個人駭客,到企圖破壞金融市場穩定的恐怖份子集團,都需要完善進行資安辨識、保護、偵測、回應和復原等工作。尤其台灣的地緣政治風險,讓具有敵意的網路駭客不時挑釁滋事或隱藏毒蟲,等待衝突發生。我們能做的,就是更多的因應防備,更多的演習演練。
為了滿足這樣的需求,台灣金融研訓院與美國在台協會(AIT)在6月底共同舉辦了台美金融資安論壇。論壇特別邀請了3位來自美國財政部網路安全和關鍵基礎設施保護辦公室(OCCIP)的專家,分享美國經驗。同時,也藉此機會,讓台灣各金融資安主管人員齊聚一堂,針對台灣金融資安的整備情況與美方進行交流。
OCCIP的主要責任是協調整合美國公部門和民間產業的金融資安能量,同時尋求因應之道。該機構甚至在2020年協助了七大工業國發布《G7網路演練計畫的基本要素》(G-7 Fundamental Elements of Cyber Exercise Programmes),針對G7各國的金融部門在實體網路攻防演練時,提供作業項目指引。因此,如果台灣能引進OCCIP這樣的國際專業機構,協助台灣金融機構演練資安威脅,將對台灣資安能力的培養有顯著助益。
這樣的台美合作也受到一直以來重視資安議題的蔡總統親自出席並予以肯定。蔡總統一直強調「資安即國安」,領導執政團隊不斷努力提升各方面的資安防護,除積極成立數位發展部與國家資通安全研究院外,更持續推動資安國際合作,例如自2022年開始,台灣成為美國資安事件應變及安全小組論壇(FIRST)的會員,並與許多國家的金融資安單位簽訂了MOU,建立了合作管道,進一步拓展了台灣金融資安的國際合作。在政府諸多努力下,蔡總統也期勉金融業:雖然提升資安需要投入大量成本,但堅持實施資安措施將有助於保護金融機構、企業和客戶,使資安成為金融機構的重要資產。
災難往往有徵兆,但只有做好準備的人才能看見。很高興看到台灣與美國金融資安團隊開始對談,相互交流風險認知與因應思維。我們更期待,除了軍事熱戰的演練,台美也可以開始規劃金融資安的聯合演練,以提升我國金融業應對資安風險的能力。在這其中,若能結合台灣本身已有的資訊產業能量,將是更好的方向。然而,在進行這些演練之前,各家金融機構高層應更加重視資安人員的薪酬和升遷,才能為一切準備奠定良好基礎。
*作者為《台灣銀行家》雜誌總編輯,本文選自164期台灣銀行家雜誌,授權轉載