金融研訓院與AIT共同舉辦「台美金融資安論壇」,台美資安專家George salmoiraghi、李德財對談。廖瑞祥攝
近年來,網路攻擊事件層出不窮,美國財政部網路安全和關鍵基礎設施保護辦公室主管表示,小型企業受到攻擊時,要負擔的成本極高,且難以回復到原貌,建議企業要有「蹲馬步」積極資安作為,才能抵禦相關攻擊;另政府和民間企業、以及友好的合作夥伴有效地分享資訊,甚至是跨國領域的合作,以防範有敵意國家或有心人士的攻擊。
台灣金融研訓院與美國在台協會(AIT)今日共同主辦「台美金融資安論壇」,總統蔡英文、AIT代表孫曉雅出席並致詞,由金融研訓院副院長林仲威主持,現場邀請美國財政部網路安全和關鍵基礎設施保護辦公室主管George salmoiraghi、Wilson Co和Steven Nider針對金融業資安政策與強化金融服務業安全與韌性的方法進行演講。
台美金融資安論壇,雙方資安專家George salmoiraghi、李德財對談。廖瑞祥攝
George salmoiraghi分享美國財政部網路安全和關鍵基礎設施保護辦公室(OCCIP),如何整合公部門和民間、產業的金融資安問題及因應之道。他表示,OCCIP的主責在於協調各單位,特別在911恐怖攻擊後、辦公室正式成立,當時網路正要開始發展,重點在於推動國防要素、驅動所有面向,確保基礎設施安全的可用性和安全性,並進行弱點評估,布建資訊分享和跨部會協調。
George salmoiraghi指出,情報分享也十分重要,必須有一個團隊負責持續交流,即便在疫情期間,也能運用科技讓更多相關單位參與,目前團隊有1200名參與者,針對金融業等相關單位提出建議,同時,找出威脅跟弱點進行演練,風險管理跟減緩風險是現階段的兩大重點,設計更有效的演練,檢視金融機構跟設施之間的相互操作性。
近年來資安事件及相關謠言甚囂塵上,國內金融機構業者問及,如何研擬推動相關政策並進一步強化金融穩定度。George salmoiraghi建議,要能辨識潛在風險,其實謠言攻擊並未如此有效,可以跟更多合作夥伴分享資訊,來防範有敵意國家或有心人士的攻擊;另在受到衝擊時,OCCIP會匿名與相關單位合作,分享目前狀態,提升到全國層級的因應機制,甚至是跨國合作。
台美金融資安論壇,美國財政部網路安全和關鍵基礎設施保護辦公室主管George salmoiraghi演講。廖瑞祥攝
另有業者關切,金融業面臨不斷新興的科技及人工智慧(AI),如何兼顧風險又能享有新興科技帶來的益處;又美國允許加密貨幣,但加密貨幣已被駭客或其他不法集團濫用,主要因其匿名性又防竄改,如何權衡開放或禁止的利弊得失?
George salmoiraghi表示,新科技日新月異,因應之道要與時俱進,目前OCCIP正開始思考金融服務業推動AI時會有哪些優缺點,基本上採取中立態度,如何放大好處、降低風險會是未來關注的重點。
至於加密貨幣問題,他也不諱言,並不樂見此狀況,特別是中小型企業,遭遇勒索軟體攻擊,由於受限規模,人工僅1至2名,可能花費2000美元就會復原,實際若想回復正常樣貌,就要花費到1萬美元,是小型企業難以承擔的,期待企業對勒索軟體或分散式阻斷服務(DDoS)要有敏感度,最好要有「蹲馬步」積極作為,才能抵禦相關攻擊。