【大纪元2023年06月29日讯】(大纪元记者侯骏霖台湾台北报导)金融业时常面临勒索软体与骇客攻击,一旦金融服务中断将是严重的国安问题,美国致力与台湾等理念相近伙伴打造可信赖供应链。专家29日表示,国际间面对资安议题应有联防作为,而云端供应商提供金融业服务,也扩大了资安防护的战线。
台湾金融研训院与美国在台协会(AIT)主办“台美金融资安论坛”,总统蔡英文、AIT处长孙晓雅(Sandra Oudkirk)、美国保护网路安全关键设施办公室(OCCIP)等人出席。
OCCIP网路情资风险分析与韧性部门总监萨George Salmoiraghi指出,美国政府2017年颁布行政命令,内容提到金融业面对资安威胁需减缓风险,且强调政府与民间单位有共同责任,2021年针对关键基础设施的零信任文件中,认为公私部门均应盘点资安弱点、分享情资机制、管理风险及面对重大事件影响的演练计划。
这些都突显金融资安环境的重要性,他说,一旦金融服务中断、影响国家经济体制,就是严重的国安问题,尤其是911恐怖攻击后,美国更重视关键基础设施的实体保护,现在也面临人工智慧(AI)、加密货币的挑战,还有云端技术带来的风险问题,皆需跨部会探讨共同抵减风险的方法。
“其实俄罗斯入侵乌克兰就是近期一个典型案例”,George Salmoiraghi表示,有别于金融业单方面针对天灾、骇客攻击等逐项演练因应对策,美国对俄罗斯祭出金融制裁,并与各国央行和银行合作,涉及国际间复杂情境,还要兵推俄罗斯透过国内外不同作法影响金融局势,甚至要有防堵攻击基础设施的作为。
George Salmoiraghi认为,许多资安攻击事件,不仅由国内策动,许多都是跨国犯罪行动,因此国际间如何联防也变得相当重要。他建议,现今虚拟银行风险程度较高,但随着金融业持续深耕金融科技发展,必须衡量资安作为要与自身风险相称,才是稳健作法。
云端技术服务商过度集中化
美国针对金融机构采用云端技术的白皮书在今年2月发布,OCCIP国际网路政策副主任Wilson Co点出主管机关有6大重要发现。首先,金融机构若使用云端服务,特别是小型企业,在监控或尽职调查的透明度不足;第二,云端服务供应商(CSP)除了提供专业工具的模版,也必须协助各家金融机构设计更具韧性的平台。
第三,CSP若受到资安攻击,可能连带冲击金融营运作业,因此针对弱点需要评估;第四,云端服务市场有过度集中化问题,把持在微软(Microsoft)、亚马逊网路服务公司(AWS)等几家大企业之手,也会带来相关风险。
第五,CSP过度集中让小型金融机构在谈判合约上处于不利地位,这部分正在研拟相关机制;第六,国际监管有分散、碎片化状况,因为各国云端服务可能都有不同的法规规范,这部分还在寻找最佳做法。
台湾金融业也面临资料储存问题,尤其担心国外厂商云端服务,却将资料储存在另外国家(如中国等)。对此,Wilson Co回应,现阶段主要以提高云端服务监控透明度为优先,但这涉及银行联邦系统、与第三方尽职调查有关,推动方向是希望CSP资安标准拉高到与金融机构相同。
资安人才缺乏是困难点
OCCIP高级政策顾问Steven Nider指出, 资安威胁不分国界,此次论坛也了解国际伙伴面临的问题,找出台美差异并对症下药。他说,除了强调资安能力的提升,美国财政部也发现资安人才缺乏,正积极推动相关育才计划,以因应未来AI科技发展。
Steven Nider透露,美国政府官员近期持续与科技大企业会面、听取AI发展规划,拜登总统未来几周将发表针对AI发展的演说,届时可能有较明确指示,财政部仍在筹备工作小组,评估AI等新兴科技对金融资安的影响。
责任编辑:玉珍
