2023年永續金融執行淨零碳排和資安防駭將成爲重頭戲

Google Cloud臺灣技術副總林書平則強調，在2023年的「數位信任」執行對資安強化的重要性，應重新建立起「零信任」架構；對此林書平分析，駭客透過各種社交工程，騙取員工的密碼然後登錄到內部系統，儘管一開始只能得到普通員工的權限 但接下來因爲內網的防火牆不夠、權限控管沒作好、資料分級沒有落實等疏漏，因此讓駭客輕易攻破，成功取得機密資料。

觀察國際對淨零碳排評比的趨勢，楊荊蓀對最新觀察結果分析，金融業已從國際中被要求在營運活動中不僅要參與減碳的要求：「而且要對碳排大戶有更進一步的作爲。」今年各評比來看，例如道瓊永續指數的新增題組全都跟淨零碳排相關，他預期在相關評比中：「明年脫碳議題會過半！」同樣的CDP題組相關碳排的題目將增加逾一倍，SBT明年也會有跟淨零有關的更多題組。

楊荊蓀也進而指出，明年除了範疇一及二仍是重點：「另一重點在於金融業將自明年提前起跑範疇三。」同時國發會已有明確宣示，2027年全體上市櫃公司要作碳足跡盤查，2029年要出驗證報表，都將成爲接下來要努力的重點課題。

楊荊蓀觀察，疫情這三年來，因爲使用網路比例更高，因此資安防駭問題也更多，他認爲明年在氣候財務風險管理和資安的強化，將是ESG執行面要努力的兩大重點。

蒲樹盛則表示，在淨零碳排、永續環境的相關財務影響揭露上，GRI，SASB，TCFD是三個揭露基本款。他進而指出，2027年1750家上市公司都要完成溫氣盤查併入財報範圍，但接下來若碳排量不準確，併入財報是否算財報不實，是否用證交法？目前金管會正在思考該課題，因爲涉及會計師簽證財報，若碳足跡不正確是否算財報不實？這個問題很大。

他也提示，明年查出「漂綠」的業者，也成爲重頭戲；他也進而提示臺灣金融業者明年可在永續金融服務着力的面向指出，水災，旱災，野火，饑荒是明年全球的四大災難，而臺灣則可在太陽能，與農漁業有關的小水力發電的發電契機，找到更多永續金融潛在的投融資機會，來協植這些潛在廠商，據他所知不少創投已對此很有興趣。

蒲樹盛也進而指出，薪酬與永續績效有無聯結？這將是未來評比永續金融的重要項目，他觀察目前全臺上櫃公司，只有7％把永續績效和董監酬榮掛勾，其他很低，這一塊未來會更被重視，他並指出，接下來也會把ESG的「執行風險」納入評比，例如，是否有把風險管理納入治理文化？是否有作風險胃納與壓力測試？而所謂ESG風險有哪些？他舉例，例如僱用幼童工，不給保勞健保，不給加班費、竄改數據，報告揭露不實，這些都是，另外，職場上的性別評等，舉凡男女薪酬及職缺比較，都是基本款。

蒲樹盛也預期，包括董事會的架構也會再進化，除了現行主管機關規定薪酬及審計委員會之外，國際上已希望再有「風險委員會」，把ESG和其他風險全部一起納入，否則現在只放給審計員會檢視，並不完整且負擔很大。

蒲樹盛也強調，ESG的評比報告書不應該長的一模一樣：「因爲各別公司策略會有不同！」組織的強度和韌性都需要同步檢視，不見得強，例如防疫險在金融界導致極大衝擊，就是一例；他並強調明年「數位信任」的建立也非常重要，並引數據指出，金管會統計去年56億筆詐騙簡訊，平均1人收245通，3天收到2通，將來這挑戰越來越大。

林書平則表示，現在駭客的目的和十幾年前相較，出現極大變化，十幾年前，駭客是要證明其技術強，並未有財務及報酬的目的，但這幾年，已轉爲財務報酬的動機，駭客進行資產綁架，拿到資料加密，被害人付贖金，才能解密拿回資產；不過林書平也表示，在駭客成功竊取資料之前，仍有很多徵兆仍能作防備，他直言：「每一起事件背後至少有9.8次事件發生，有32.2次先兆，600起事故隱患。」

林書平進而以美國所查出駭客攻擊15個漏洞的分類指出現行「零信任」的弱點和軟體供應鏈的安全問題，強調identity的重要性，包括使用者自己，device，不同的service都要有不同的identity，code的identity都非常重要，並指出在「零信任」的安全模式之下，有三大重要的安全原則，包括：1、在內外網都要有很嚴格的限制；2 強化帳戶安全並實施裝置政策；3、傳輸加密並強制實施權限檢查。

林書平也強調，美國NIST提供零信任的零信任架構之下，已指出不能透過傳統方式去信任內網，而且現在第三方軟體問題很多，透過開放軟體而產生攻擊事件，每年成長650%，但很多商用軟體套件也具有弱點，有84%因爲用開放軟體的資安事件成長率。