【2021资安大预测】趋势11：金融业资安｜金融科技新兴风险与资安水平再提升成无可避免的挑战

近年来，金融科技、数位金融创新议题不断，各式日新月异的技术正促使金融服务型态改变，加上金融业原本就是高度利用资讯科技的产业，这也使得现在金融业的资讯安全风险议题，成为2021年的一大焦点。

开放银行下的资安议题最受注目

随着国内金融法规的松绑，金融数位转型的驱动，包括开放金融业资料可以存放到云端服务、核发纯网银执照、开放银行（Opening Banking），以及扩大行动支付之应用与创新等，带来新的业务型态，也打破了传统金融面貌。

相应而来的资安防护挑战，就成为现下金融业者将面临的一大挑战。举例来说，关于云端服务面向的安全，过去金融业可能不用关注，但现在，对于云端的控制措施、风险评估、监控与查核等，也成守备范围。此外，在开放银行之下，将让更多方单位拥有金融资讯，相对而言，骇客也有更多攻击的途径。

因此，不论是个资安全与风险、第三方服务提供者（TSP）的相关资安规范要求，资料共享与风险权责画分，还有大数据的潮流之下，去识别化应用的发展趋势，甚至AI应用的可信赖准则等，金融科技下的安全思维转变，都会成为需要关注的议题。

金融业资安现况仍有强化空间

除了新兴资安风险议题，当前金融业的资安防护现况，也值得关注。特别的是，我们近期看到有业者公布相关调查报告，打破以往我们对金融业的印象。

在2020年，安侯建业联合会计师事务所（KPMG）有一项调查，是以外部的互联网风险来检视，并筛选50家台湾各产业企业。调查中指出，虽然金融业在许多防护面向都优于产业平均，包括SSL/TLS强度、漏洞修补管理等，不过KPMG认为，金融业在相关方面能力并未显著领先，特别是DNS防护与DDoS缓解措施的部分，他们发现部分金融业者还比产业平均值落后。而这样的调查结果，其实也提醒了国内金融业者，不要以为金融业受高度监管，资安投资通常也比其他产业高，就可以满足于现况。

强化金融产业资安成国际共同目标

对于如何强化金融业资安，我国金融监管单位与金融业都在关注，也期望向国际经验借镜。现今有哪些重点值得关注？例如，美国联邦金融机构检查委员会（FFIEC）发展的网络安全评估工具（Cybersecurity Assessment Tool），就是能帮助金融机构精进资安治理，当中包含资安风险与情资的管理，内控与委外关系的管理，以及事件回应等面向。

因此，金管会在2020年提出的金融资安行动方案，就鼓励金融机构办理资安治理成熟度评估，他们也正推动十多家金融机构，试行网络安全评估工具。

此外，近年还有欧洲银行监理总署（EBA）发布的“资通科技及安全风险管理指引”，以及新加坡金融管理局发布的“网络安全公告”，这样的国际趋势，都突显强化金融产业网络安全的必要性，相关强化措施也成我国需要密切关注的趋势。另外，针对金融界的攻击手法越来越精密，为让关键金融资产的保全能够多一道防线，近年美国产业提出的“避风港计划”，也被视为金融业在资料保护上的新焦点。