因應金融創新科技,改變營運模式的資安新思維
如何提供穩定不中斷的金融服務,更保護金融消費者的財產與隱私
金管會於109年8月6日推動『強化金融資安行動方案』,旨在提供民眾安心便利、穩定不中斷的金融服務。
該計畫之推動以二至四年為期,保護金融消費者的財產與隱私,資安行動方案從四個面向切入:
強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能 (架構圖如下圖一),亦提出36項資安措施。
更從二方面提供指引功能:
(一)現有資安再優化精進措施:如檢視資安風險因子與金融監理工具連結之有效性、增修訂新興金融科技資安規範等。
(二)規劃資安新思維方向:如推動一定規模金融機構或純網銀設置資安長,強化金融資安韌性,建立資安應變體系。
本篇將特別著重於「新興金融科技資安規範」,提出具體行動方案與建議:
依據金融資安行動方案執行措施表內資訊,針對構面一、強化資安監理中,增修以下兩個工作小項,提出工作說明重點:
就上述兩項規範,格外著重於「新興科技安控」與核心資訊系統供應鏈之風險評估管理要求,於此,CyberArk身分安全平台中,提供以下安控與稽核建議:
一、執行與落實零信任安全存取:
在創新金融發展下,多元化的新興科技持續導入,從過去的邊際防護到縱深防禦的做法,以不足以抵禦來自於多方的攻擊與入侵,為了建構強而有效的核心與交易系統防護控制點,唯有執行「零信任的身分識別」才是關鍵,具體可執行的建議如下:
- Human Identity:ID + Password + MFA + PAM à Login success
- Machine Identity:UID + Password + AP Secretless Broker à Authentication successful
二、建立供應鏈與維運商零信任安全存取:
- 無論供應鏈或維運商自內部進行連線操作時,必須是由廠商以個人帳號進行多因子身分驗證,確保登入前的身分驗證安全。
- 若供應鏈或維運商自外部網路連入系統進行維運時,必須避免在遠端連線設備上輸入帳密(尤其是特權帳密),且採行更加嚴謹的「生物識別驗證機制」,確保遠端連入時的驗證,並且建立外網連線的Terminal gateway,完整留存系統維運時的操作記錄與影像擷取,作為日後稽核與備查。
預期效益:
透過上述的建議與作為,除可落實資安行動方案的要求外,共創以下「金三角」目標:
- 金融機構:
健全資安管理制度,提升資安防護能量;並得以在資通安全的基礎上,運用新興科技發展金融業務,提供消費者更安心、便利與多樣之金融服務,讓您完全無後顧之憂、勇往直前、再創營收佳績。
- 金融產業:
透過供應鏈與維運商的安全存取與管控機制,建構金融資安聯防體系,厚植金融體系防禦能量,營造安全的金融服務發展環境,奠定金融科技創新及發展之根基。
- 金融消費者:
安心使用更加便利、不中斷的數位化金融服務,並在保障財產與隱私安全情況下,獲得金融消費者更高的評價與服務滿意度提升。
[撰文者:力悅資訊 王甯申]
更多方案內容,請參閱以下官網資訊:
CyberArk https://www.cyberark.com/zh-hant/
力悅資訊 http://www.cyberview.com.tw/cyberark/
