國際貨幣基金(International Monetary Fund, IMF)在今年4月所發表的最新一期《全球金融穩定報告》(Global Financial Stability Report)中明確指出,網路風險已是總體金融穩定所日益關注的課題。過去20年間,網路相關事件發生的次數日益頻繁,特別是從COVID-19疫情爆發後至今,網路資安(特別是惡意的網路攻擊)事件已增加為疫情前的2倍。在金融數位化加深的情勢下,金融業已是高度網路曝險的行業,過去20年間所有已通報的網路資安事件中,有20%對金融業造成影響,其中又以銀行業為網路攻擊的首要目標,其次是保險業及財富管理業。
這些金融資安事件除了造成個別金融機構的直接與間接損失外,更可能因此破壞金融資料的完整性與機密性,使金融資料系統無法運作,導致金融服務可靠性喪失、關鍵基礎設施服務無法替代及金融市場相互關聯性風險事件等問題發生,甚至蔓延為金融部門的網路擠兌、交易暫停、資產價格波動、流動性與倒閉風險,以及非金融部門的信用與市場損失,和關鍵基礎設施的服務中斷,造成國內信貸供給萎縮與金融中介服務中斷等總體金融不穩定現象。2023年11月,中國工商銀行(ICBC)在美國的子公司中國工商銀行金融服務公司(ICBCFS)受勒索軟體攻擊而中斷金融商品交易的清算服務,導致美國國債交易市場一度暫停,便是一個明顯的例證。
就我國現階段金融資訊安全的重要性而言,賴總統已數度公開表示金融安全即是國家安全,國家必須著眼於金融資安的強化。換言之,金融資安已是國家安全戰略的一環。國內金融業目前正值數位轉型的關鍵時刻,特別是自COVID-19疫後,金融數位化、金融科技創新與AI人工智慧的蓬勃發展,以及地緣政治衝突帶來的資安威脅,金融業的網路曝險程度更甚以往。因此,為強化金融業資安防護能力,以確保金融系統營運不中斷,提供民眾安心交易環境,金管會乃審視金融科技發展趨勢、國內外資安情勢變化及實務運作情形,並參考國際資安監理政策,先後於2020年8月及2022年12月發布「金融資安行動方案」1.0版及2.0版,作為金融資安的執行準據。惟就金融資安即國安的觀點而論,要確保總體金融的穩定與韌性,必須要有以下的金融資安戰略思維:
第一,完整建構跨產業的資安聯防系統,延伸金融穩定的戰略縱深。試想,當國內重要策略性產業受到資安攻擊而中斷生產時,它會對金融市場(如股票市場)造成如何的衝擊。
第二,積極發展國內資安相關產業,提升資安維護第三方供應者風險管理效能。金融資安維護常需依賴第三方供應者的支援,相關資安產業的發展可提供即時資安事件支援與有效降低第三供應者帶來的資安風險。
第三,善用台灣現有的國際地位與產業影響力,鏈結國際資安防護資源,強化金融資安的布建與備援,確保非常時期的金融穩定與韌性。
*作者為台灣金融研訓院董事長,本文選自174期台灣銀行家雜誌,授權轉載
