(由左至右) Google Cloud資訊安全專家 鄭家明、Elasticsearch區域銷售總監Fernand Cheng、Secure Vectors安律信息技術PCI DSS QSA審核員黃廷弘、CloudMile萬里雲解決方案架構團隊主管梁文典

日前金管會公告,將修改《金融機構作業委託他人處理內部作業制度及程序辦法》,最快 2023 年 9月放寬金融業上雲相關申請。此舉將有助金融業加速數位轉型及提升服務效率。然而相關業者後續該如何兼顧合法合規與資訊安全、保障客戶權益?

為了解決許多金融業相關人員的困惑,Secure Vectors 安律信息、Google Cloud、CloudMile 萬里雲及Elasticsearch, Inc. 於2023年6月,共同主辦了一場「金融資安 × 合規管理 × 雲端超強佈局」研討會,特別邀集業界資深顧問群,深入剖析金融及支付上雲的法律、合規及安全保護議題。

Visa 台灣區風險管理負責人沈玫芳

Visa 五年間已投入超過 100 億美金 對抗日益複雜的金融犯罪

Visa 台灣區風險管理負責人沈玫芳表示,疫情加速金融創新,數位需求加劇,技術支持和風險管控也更顯重要。根據最新 Visa 消費者支付態度報告,超過 6 成台灣消費者,線上購物時會用數位錢包結帳;實體通路上,近 8 成消費者週週使用數位錢包。此外,更有 3 成以上的消費者,願意分享自己的支付行為資料,取得對應優惠。

另一方面,由於經濟緊縮,詐欺變成一門生意,金融犯罪創新高,網路支付詐欺、合成身份詐欺、身份盜竊、帳戶接管、深偽技術、生物識別詐欺、AI驅動攻擊向量……金融犯罪型態更變得日益複雜。

當詐騙集團用耐心和科技,努力要挖出更多寶藏(金融詐欺獲利)時,身為寶藏守門員的金融相關業者,要如何防守?有些企業因經濟緊縮而減少對資訊安全的投資,對相關攻擊不知不覺,卻因此付出更大的代價!這也是近年企業資訊外流事件層出不窮的根本原因。

更多便利帶來更多風險,Visa 秉持負責任的創新,持續投資資安風險管理,在過去五年間,就已投入高達 $100億美金,用於科技技術和創新以保護支付生態圈,包括制定生態圈規則及安全技術來面對可能風險、採取即時對策、情報蒐集及合規要求來面對持續的攻擊、隨著變化的格局不斷發展產品及流程的能力並進行客戶教育,也可以為了客戶的風險管理需求客製等,以達到遏止詐騙罪犯蹤跡、保護商家和消費者免受詐欺損失的目標。

Secure Vectors 安律信息技術 PCI DSS QSA 審核員黃廷弘

ISO 37301 國際合規趨勢下,運用可視化系統,落實合規監控

金融業者組織內通常會設立 CCO 合規長、CSO 資安長或 CIO 資訊長的職位,無論是哪種職稱,都必須達成企業合規義務,把合規資訊包括法令、規定、產業資訊、產業規律、自律規範等先做盤查,再落實風險評鑑,降低罰金的衝擊以及人力、預算的有效規劃管理。

近期許多金融與支付業者在評估雲端服務時,常常會問「雲端服務是否符合 PCI DSS v4.0 還是ISO27001 安全的規範?」Secure Vectors 安律信息技術 PCI DSS QSA 審核員黃廷弘說明,金融業上雲的合規,和二個改版都有關,二個標準都要通過,而 ISO 37301 是讓所有的合規管控都可符合的大傘。

做好合規管控就等於做好資安,如果沒有做到合規的要求,不但有潛在資安問題,還會有高額的罰金問題。以「個人資料保護法」為例,之前最高僅可罰新台幣 20 萬元,但今年五月初審通過「個人資料保護法修正案」後,最高將可罰到新台幣 1,500 萬元。

傳統模式做合規,通常是給工程師看一大本程序書,卻常造成「管理的人不了解,執行的人做不到」的窘境。金融業者若想做好合規,就勢必要走到監控,需要好用的工具,例如合規管理系統。其合規監控可以節省時間,同時掌控安全。雲端監控業者可以直接告訴你,目前不符合哪一條。更可透過「自動化資料收集」、「比對合規資料庫」以及「Trigger 後續合規作業」,運用可視化系統,方便管理,真正落實「做到、又能被主管了解」的合規監控。

以主機為例,不論是地端或雲端,都需要用到主機,如果今日有位工程師默默購買使用了境外雲主機服務,傳統模式下,公司通常要等收到帳單才會發現,一不小心就背上鉅額罰金;但在合規管理系統下,不到一小時之內就會發現問題,可即時採取相關行動。

建立防範未然的資安防護系統 擁抱雲端轉型 Bank 4.0

Google Cloud 資訊安全專家 鄭家明

Google Cloud 資訊安全專家 鄭家明強調,金融業者上雲最關注的三大議題:資安、個資防護、合規。全球高達63%的資安事件是外部人員或受害用戶進行通報,駭客發動攻擊的手法也越來越有效率及自動化,故建立具有防範未然效果的資安防護系統,透過即時監控和自動化回應來因應駭客攻擊,是許多企業的當務之急。

CloudMile 萬里雲解決方案架構團隊主管梁文典

CloudMile 萬里雲解決方案架構團隊主管梁文典進一步分析,當銀行服務在轉型成 Bank 4.0 的過程中,其 IT 技術務必也要跟著轉型。上雲,是金融業發展的重要方向,常見的金融業上雲發展路徑,包括:備份備援、系統搬遷及數據分析。如果金融業者想讓自家上雲發展可以更正確和更有效率,萬里雲都有相對應的解決方案和豐富的成功經驗,可協助金融業者順利透過上雲強化系統韌性,並妥善管理因地緣政治所引發的風險;更可強化金融業者使用雲端大數據分析的能力,進以提升其企業經營績效與獲利。

Elasticsearch 區域銷售總監 Fernand Cheng

Elasticsearch 區域銷售總監 Fernand Cheng 更是點出許多業者的上雲痛點:「市面上很多資安平台,但都只能協助用戶剖析一部分的環境,導致分析上出現盲點或誤判。」如何整合散落各端的海量資料、進而搜索出其企業的盲點與問題?是許多業者內心的最大問號之一。

Fernand 提醒,其實這個痛點有解,Elasticsearch 是一個可以協助金融業者收集、導入與讀取不同日誌(logs)、指標(metrics)和應用足跡(traces)的資料分析平台,能在企業的現有地端、端點與跨雲端的環境,整合各方的情資與數據,協助企業以一個統一的資料分析平台,做出偵查、分析與故障排除和阻擋,鞏固企業手上的不同資安系統與科技。

最後,黃廷弘也提醒,ISO 37301 是趨勢,結構上,PCI 往管理制度、管理系統靠攏,而各家合規標準各具長處,企業可發揮優勢,讓 PCI 更完善,建立資料安全標準架構,落實>政策>程式>執行>紀錄的管理程序,方能真正打造自家企業之 金融資安 × 合規管理 × 雲端 超強佈局。

出處:商業周刊