本文摘要世界經濟論壇(World Economic Forum,WEF)的文章,探討金融服務業與數位安全。
根據管理顧問公司Accenture報告指出,每10位商業領導人中就有8位認為自己能發現資安問題的速度跟不上科技推陳出新的速度;而報告中也預估五年內銀行產業將因網路犯罪而損失將近3,500億美金。
知名案例如2017年全球最大貨櫃船運業者Maersk遭惡意程式NotPetya入侵,損失預估2至3億美元;同年WannaCry勒索病毒癱瘓英國國民健康服務系統(National Health Service,NHS);孟加拉央行SWIFT系統遭駭損失逾20億;或是2014年索尼影業被駭事件,損失難以估計。
對金融業來說,一場資安攻擊可能造成投資者失去信心,導致銀行擠兌、流動資金凍結、或是股市暴跌等,至於是否造成系統性金融危機端看監管單位的審慎管制做法。監管單位期待機構可以建立從設計面就著重安全的系統,例如遭受攻擊後反應及恢復的能力,高層不能模稜兩可,資安成員需有應變能力等。
此外,銀行對監管單位的事件報告一般而言是必要的,這包含了提交根本原因分析及失敗案例檢討與學習;然而,在其他溝通管道仍有不足,例如不同司法單位的監管者之間、監管單位對銀行、或銀行之間,如「國際清算銀行2018數位韌性報告」(2018 BIS report on cyber resilience)指出司法單位之間所有形式的全面資訊分享仍是特例。
最後,銀行需要完善分類資安風險、指標,以及能作為資安控管環境度量的有形資產,這些分類可以涵蓋資安應變手冊、復原計畫、密碼弱點掃描、訓練資料及跡近錯失(near-miss events)的加密政策等。
一如歐盟呼籲歐洲各國應團結合作處理資安問題,本文作者亦表示,金融業能夠越早合作互助,提高對資安威脅的警覺度,就越能做好相關準備並強化抵禦與數位韌性能力。
