東吳永豐數金論壇 資安韌性與金融科技創新

(東吳永豐數金論壇」與會貴賓(左起):永豐金控副總經理嚴國瑞、永豐金控資訊安全長李相臣、東吳大學法學院教授餘啓民、東吳大學校長潘維大、數位發展部數位產業署署長呂正華、奧義智慧科技共同創辦人吳明蔚、iThome總編輯吳其勳、東吳數金中心執行長歐素華。圖/東吳大學提供)

永豐金控與東吳大學於2023年3月展開第二階段產學合作,並在2023年4月21日舉辦《東吳永豐數金論壇-資安韌性與金融科技創新》揭開序幕;以期在探索新經濟與新客羣、廣納跨域人才培育及提升金融科技影響力等面向,持續共同推動嶄新的金融應用。

本次論壇之與會嘉賓數位發展部數位產業署署長呂正華特別揭示「資安產業化與產業資安化」的重要性。他強調,數位產業署全力推動IT科技與數位網絡創新,讓整個數位環境更健全,但同時也必須強化資安產業發展,落實數發部在社發、產發、突發建置,從社會共融、產業轉型、到應變韌性來建構全民數位韌性基礎。呂正華署長也強調,從金融業到中小企業都必須重視資安防護,建構產業資安化環境。

東吳大學校長潘維大則說明,我國金管會正全力推動線上數位身份認證,與此同時,數位資安防護就顯得更爲重要;尤其在同時面對各種可能突發狀況如大停電時,金融機構的異地備援以確保資金流動性與資訊安全就必須有健全措施。這次論壇並邀請奧義智慧科技共同創辦人吳明蔚博士、永豐金控資訊安全長李相臣、iThome總編輯吳其勳、與東吳大學法學院教授餘啓民分享資安韌性與金融科技創新的重要觀察。

奧義智慧科技共同創辦人吳明蔚博士指出,現在每天有50萬個病毒、50萬個釣魚網址,資安威脅無所不在下,資安人才卻稀缺,估計全球有高達350萬個空缺。與此同時,金管會的法律遵循越趨嚴格,領先全球,要求金融機構發生資安事件必須在30分鐘內通報。在攻擊更多、專家稀缺、時效迫切下,則大勢所趨必然得由「人機共駕」高度賦能AI等自動化科技,讓資安團隊不在莫名當砲灰,能事半功倍。

吳明蔚特別從董事會資安成熟度來檢視金融業乃至其他產業的資安挑戰。成熟度最低者會說「資安怎麼這麼貴?」其次則會思考「我們夠安全嗎?有合規嗎?」更進一步者則談「我們能不能把資安成爲優勢?」成熟度最高者則提出「我們能不能完成數位轉型」?吳明蔚並提出檢視自身需要資安防護的5X5矩陣,橫軸是識別(identify)、保護(protect)、偵測(detect)、應變(respond)、復原(recover);縱軸是裝置(devices)、軟體(applications)、網路(networks)、資料(data)、用戶(users),由此循序漸進探討資安的可視完整、阻擋已知、偵測異常、應變根因、與檢討韌性。

永豐金控資訊安全長李相臣則提出「營業不中斷」的資安韌性定義,他特別說明資安長的挑戰就在金融服務創新體驗與安全防護的平衡。他認爲金融服務資安防護應考量使用者體驗,因此除第一線防護外,更重要的是中後端的分析。尤其現在木馬程式植入往往長達90天、甚至155天以上,如何避免被駭客長驅直入進行勒索,纔是資安防護的重中之重。他並且提出有可能有資安問題的關鍵洞察包括:遠端遙控、取得最高權限、不屬於電腦的電腦、長假日之前等,值得資安人員警惕。

iThome總編輯吳其勳則引用金管會主委黃天牧在2020年8月提出金融業應該形塑「集體韌性」的組織文化,並以「資安不倒翁」來說明資安文化乃是企業資訊安全的重心,推動良好資安文化的企業,擁有更強的資安韌性,更進一步說明形塑資安文化應包含以下幾個面向,一是提倡資安韌性意識的領導力,二是透過領導建構資安文化,三是由當責性與透明度來贏得信任,四是倡議員工的資安行爲,最後則是提供持續的資安訓練。

東吳大學法學院教授餘啓民則由制度性管理來說明資安韌性的重要性。他認爲未來金融機構的資訊安全長與法遵長、法務長、個資長的互動將相當重要;而資安制度建構包括形塑金融機構重視資安的組織文化、完成資安規範(如ISO27001)、強化資安監理職能、與加強金融資安檢查。餘啓民教授並提出「金融資安行動方案2.0」應兼顧公平待客與友善金融,例如智慧客服可提升營運效率及減少經營成本,但卻可能有資訊隱私安全問題而無法深度應用;此外,當未來資料可攜與資料開放共享後,數位身份的掌控權如何回到客戶手上,以及相對應的權利義務指引,將成爲未來數位轉型上的關注方向。

本次活動圓滿完成,東吳大學數金中心並預告下一次《東吳永豐數金論壇》將於2023年11月間舉辦,敬請期待。