護資安 金融業防駭大練兵

金管會、銀行公會全力強化資安

資安威脅頻傳,金管會2020年更推出金融資安行動方案,近幾年金管會的演練鎖定DDoS(分散式阻斷服務),今年則增加新嘗試,也就是「金融駭客入侵模擬演練」,目前已有銀行報名參加。據悉,金管會今年攻防演練規模擴大外,也增加入侵與攻擊模擬演練,差異是參考APT進階持續性滲透攻擊組織的方式來製作演練劇本。

行庫指出,金管會近幾年的資安演練,主要鎖定DDoS攻防演練,也就是藉由演練攻防測試,看銀行是否可以成功阻擋DDoS攻擊,且於攻擊期間,網路銀行網站迴應的情形是否正常,服務是否可以達到不中斷。

但今年攻防演練規模擴大,除了讓更多的金融機構一起參加,藉此強化應變能力,今年也增加入侵與攻擊模擬演練。金管會委託財金公司舉辦「111年金融駭客入侵模擬演練」,模擬駭客以自動化形式檢測金融機構資安防護能量,主動發現銀行防護弱點,並測試SOC資安監控中心、SIEM資安事件管理或CERT電腦緊急應變團隊的資安事件分析與應變能量。

公股銀主管指出,很多金融機構也會自行推出相關演練,而金管會推動之下,可以讓更多的業者實際參與。

除了金管會,銀行公會也積極協助強化各銀行的資安能力,今年的重點工作之一就是強化資安風險防禦能力。銀行公會強調,今年積極落實會員銀行間的資訊安全聯防機制,包括CSIRT(Computer Security Incident Response Team)小組持續辦理金融資安訓練研討會、維運資安訊息分享平臺等,以協助提升銀行總體資安防護能量。

銀行公會爲增進安控基準的易讀性及因應技術發展彈性,也成立「安控基準改版小組」,研議「安控基準」整體架構調整事宜。

此外,銀行公會依據金管會「金融資安行動方案」相關要求及參酌行政院國家資通安全會報技術服務中心相關規定及英國發布「建構英國金融業之作業風險抵禦能力」,研議訂定「金融機構資通系統與服務供應鏈風險管理規範」及「金融機構資訊作業韌性規範」,強化金融機構資訊與供應鏈體系的風險防禦能力。