解密OCCIP 聚焦關鍵基礎設施聯防

臺灣銀行家第164期:臺美合作 金融資安更罩（臺灣金融研訓院）

OCCIP就如同情資單位，主要是與金融部門公司、行業團體和政府合作伙伴保持密切合作，共享有關網路安全、實質威脅和漏洞資訊，鼓勵使用符合資訊安全標準及最佳化措施，發生重大事件時，做出迴應及恢復正常運作。

臺美雙方首次在金融資安議題上進行公開性合作，最受矚目的「焦點」，就是來自美國財政部（U.S. Department of the Treasury）的網路安全和關鍵基礎設施保護辦公室（Office of Cybersecurity and Critical Infrastructure Protection, OCCIP），然而這個神秘的單位究竟在資安議題上扮演哪些角色？

根據調查，在美國財政部官網上的組織架構圖中，並未看到網路安全和關鍵基礎設施保護辦公室（OCCIP）的名稱，僅找到一段簡要的介紹文字，「OCCIP協助美國財政部相關部門的工作，以加強金融服務部門關鍵基礎設施的安全性和彈性，並降低運營風險。」

其實OCCIP就如同是一個情資單位，因此本身非常低調、曝光極少，他們主要是與金融部門公司、行業團體和政府夥伴保持密切合作，共享有關網路安全、實質威脅和漏洞的相關資訊，鼓勵使用符合資訊安全標準及最佳化措施，並在發生重大事件時，做出迴應及恢復正常運作。

這次來臺灣參加論壇專題演講的OCCIP網路情報、風險分析和韌性部門主管薩蒙瑞伊（George Salmoiraghi），在專題演講「國家金融穩定與強化金融韌性-美國對於重大事件與金融穩定之策略、實務」中，概略提到近20多年間，美國政府如何將「關鍵基礎建設防護」列爲施政的核心與重點，特別是在2001年「911恐怖攻擊事件」之後，陸續發佈行政命令、基本策略跟國土安全總統令等。

薩蒙瑞伊指出，如何有效地整合關鍵基礎建設與重要資源，並有效地運用聯邦經費及資源，保護關鍵基礎建設免於恐怖攻擊，美國國土安全部也修訂相關的計劃，強調「安全與韌性」作爲推動國家關鍵基礎設施的防護目標。而OCCIP的責任在於協調各單位，重點在於推動國防要素、驅動所有面向，確保基礎設施安全的可用性和安全性，並進行弱點評估，布建資訊分享和跨部會協調。

薩蒙瑞伊提醒，情報分享十分重要，必須有一個團隊負責持續交流，即便在疫情爆發期間，也能運用科技讓其他單位參與，目前團隊有1,200名參與者，針對金融業等相關單位提出建議，同時，找出威脅跟弱點進行演練，風險管理跟減緩風險是現階段的兩大重點，如何設計更有效的演練，檢視金融機構跟設施之間的相互操作性。

由於美國總統拜登上臺後，政府重要部門陸續遭到重大網路攻擊，薩蒙瑞伊也提到，拜登於2021年5月簽署發佈，要求改善國家網路安全並保護聯邦政府網路，同時，提醒民衆政府單位和民間企業發生的資安事件，若只靠聯邦政府的行動並不足，尤其美國多數關鍵基礎設施由民間企業所擁有，所以，需要鼓勵民間企業採取較積極的措施來調整網路安全投資。

因此，OCCIP最近不斷跟民間企業合作，要採取哪些更好的方式檢視風險，金融也是一個關鍵基礎設施，透過舉行工作坊、相關地圖檢視金融單位不同的流程間如何連結，連帶造成何種效應，藉此設計更有效的演練，來檢視金融機構跟設施之間的相互操作性。

由於烏俄戰爭持續一年多，雙邊的網路攻防也成爲外界關注議題。薩蒙瑞伊表示，OCCIP多年來跟許多政府機構，包括各國央行、銀行等合作，提升資訊安全和韌性，美國政府也會即時提供金融機構跟基礎建設等相關資訊交換與交流，畢竟祭出技術制裁之後，是否會對國內基礎建設產生影響，也需要密切關注。

在專題演講結束後，薩蒙瑞伊也與國內的金融機構業者互動，近年來與金融業相關的資安事件及謠言甚囂塵上，有業者問及，如何研擬推動相關政策並進一步強化金融穩定度？

薩蒙瑞伊建議，要能辨識潛在風險，其實謠言攻擊並未如此有效，可以跟更多合作伙伴分享資訊，來防範有敵意國家或有心人士的攻擊；另在受到衝擊時，OCCIP會匿名與相關單位合作，分享目前狀態，提升到全國層級的因應機制，甚至是跨國合作。 （全文請見8月號臺灣銀行家）