由金管會主導並委由財金資訊公司營運的「金融機構資安資訊分享與分析中心」(簡稱F-ISAC)今(22)日正式揭牌,初期包含銀行、保險、證券期貨等金融業者都將強制納入系統,打造出金融資安的聯防體系,也成為政府資安政策下第一個官方所轄的金融資安專責單位。
蔡英文:資安等於國安
總統蔡英文上任之後,喊出「資安等於國安」的政策方向,11日在「府會資安週活動」時又再次重申,而行政院長賴清德更曾經指名「沒有資安就沒有數位經濟,」換句話說,資安政策的發展也等同為台灣建構數位國家的願景定調。
其中,建構國家級的資安聯防體系政策就是推動策略之一,尤其近一、兩年金融機構資安事件頻傳,包括去年的第一銀行ATM盜領案,今年2月多家證券商遭到駭客以DDoS攻擊,以勒索比特幣,接著今年10月又爆發遠東銀行SWIFT跨國匯款系統遭駭事件。
F-ISAC到底是要做些什麼?
而F-ISAC先從去年3月證交所試辦開始,雖然比金管會去年承諾第二季建置完成晚了半年,所幸並未再拖延,加緊腳步趕在今年年底前正式成立。不過談到此,可能還是很多人有疑問,F-ISAC到底要做些什麼?又會對金融業者帶來什麼幫助?
其實F-ISAC主要宗旨就是要提前給金融業者預警,讓業者可以提前做好防範,初期包括銀行、證券、期貨和保險等金融業者,都要強制納入F-ISAC,據了解,目前已經有28家金融業者遞件申請加入。
金管會資訊服務處處長蔡福隆表示,F-ISAC訴求在資安事件發生之前,就先搜集相關金融資安情資,目前的做法是要求金融機構回報網路、系統每日自動產生的
「事件日誌」,也就是Eventlog、Datalog中的警訊,F-ISAC先搜集起來,再分享給其他金融機構預先加強防範,同時也會購買國內、外機構的情資。
除此之外,如果有金融機構不幸仍遭到駭客入侵,F-ISAC也可以協助進行數位鑑識,來辨識駭客的來源、入侵手法等,避免類似的事件再度發生。至於平常也會加強人才的資安專業技能,並同時提升金融機構的資安素質。
2019年建構出國家資安聯防體系
事實上,F-ISAC只是國家資安聯防架構底下的一環,蔡福隆表示,預計在2019年還會整合資安監控中心(SOC)及電腦緊急應變中心(CERT)功能,打造出具備複合式的功能。
值得注意的是,資通安全管理法草案20日也在立院初審通過,明訂出關鍵基礎設施業者,如央行、財金資訊公司、中華電信等,若遭駭客入侵而未通報,罰金也從原本的10萬至100萬元提高到30萬至500萬元。蔡英文提出要建立國家級資安團隊,確保數位國土安全,可以看出趕在年底之前,各個單位都快馬加鞭處理當中。
