Hot News

首頁 / 時事直擊 / 資訊.科技 / 資安即國安HOT!金融業提高資安管理層級

資安即國安HOT!金融業提高資安管理層級

文章發表:2022/04/06

採訪、撰文:張舒婷

面對數位時代,金融業正積極進行供應鏈資安管理,現階段國內要求金融業者要設置副總層級以上的資安長,且導入資安的國際標準,加上系統化培育金融資安人才,都是審慎面對相關問題的正確態度。

近幾個世紀以來,日新月異的科技不斷改變人類社會,但隨著新科技而衍生的資訊安全議題也更加複雜,為了滿足業界因應相關問題的需求,台灣金融研訓院舉辦「金融資安聯防教育訓練課程」,第六梯次邀請到安永管理顧問公司總經理萬幼筠、安永會計師事務所諮詢服務執行副總經理曾韵來分享資安領域的實務經驗。

資訊安全勢必成為顯學

2021年11月30日,金管會正式發布新版「公開發行公司年報應行記載事項準則」,要求公司年報揭露資安管理作為與資安事件的因應措施,讓投資人清楚公司對整體營運風險的規劃。另外,金管會也推出「金融資安行動方案」,要求具一定規模的金融機構,包括銀行、保險、券商、期貨商、投信投顧在內,未來都必須在今年第1季之前設置副總層級以上的資安長。

「資安即國安,資安是前所未有、無比的hot!」實務經驗橫跨法律界與金融業,現在同時在東吳大學法律所擔任助理教授的萬幼筠指出,自己在十幾年前就一直強調,資訊安全勢必成為顯學,如今已見識到了,相關人才也炙手可熱。他還半開玩笑指出,現在時常覺得自己猶如獵人頭的Head Hunter,因為金控高層不時就向自己探問關於資安高階人才的訊息。

萬幼筠引用歐盟資訊安全局(ENISA)的統計指出,供應鏈資安攻擊近兩年大幅提升,成為網路安全威脅主因,而且多達66%集中於供應鏈。台灣是許多歐美大廠的重要供應商,絕對要審慎面對相關問題。

2019年5月,包括全球30多國的官員、歐盟、NATO(北大西洋公約組織)和業界代表共同發表有關5G安全的「布拉格提案」(The Prague Proposals),成為世界各國建構5G的資安參考重要建議,並要求未來每個國家在評選5G供應商時,必須將國家安全、經濟、商業等因素納入評選標準,作為各國在建構、管理5G基礎設施時的原則。

「布拉格提案」針對政策、技術、經濟及安全、隱私和彈性四個面向提出建言,建議各國把5G相關服務的供應國可能對設備商造成的整體影響納入考量,尤其該評估該國的治理模式是否缺乏安全合作協議或類似的機制。另外,各國政府針對設備商和網路技術進行風險評估時,應考量法治、安全環境以及設備商本身是否曾有不法行為。

台灣電信商響應乾淨網路計畫

這也為美國前總統川普要推動「乾淨網路」(Clean Net work)計畫奠定了基礎,該計畫目的在確保關鍵電信網路、雲端、數據分析、物聯網、5G技術不會使用到「不受信任」的設備供應商(一般被認為是針對中國的華為、中興,或受到如俄羅斯等極權政府所控制的業者),拜登選上總統後也決定延續下去。

乾淨網路計畫現在已獲得英國、加拿大、南韓等超過30個國家及電信業者響應,台灣5家電信業者(中華電信、台哥大、遠傳、台灣之星、亞太)也在其中。

萬幼筠表示,美國的供應鏈遍及全球,所以不得不以全球的層次來思考整件事,推動以Cybersecurity(電腦與網路安全)為角度的乾淨網路計畫。2021年12月,美國聯邦政府公布CMMC(網路安全成熟度模型認證框架),提倡建立供應鏈的資訊安全生態系,讓每個成員都具備基本資安防護能力,台灣也根據CMMC的框架來協助國內廠商轉型為可信賴的供應鏈夥伴。

近年來炙手可熱的AI(人工智慧)一直被視為取代人類勞力的關鍵創新技術,應用範圍越來越廣,已取代了人類不少重複操作的工作,從超市的自助結帳系統到金融業與服務業的客服聊天機器人,皆運用了AI的技術,但也帶來前所未有的資安議題。

AI出錯該如何究責?

在討論伴隨AI而來的資安議題前,或許應當先思考的是:AI究竟是什麼?

專長為巨量資料分析、曾協助多家金融機構取得營運持續管理(Business Continuity Management, BCM)認證的曾韵指出,在AI崛起後,她不時就會看到「你這個只是機器學習,不叫AI」、「深度學習不等於AI」之類的爭辯,但說實在話,目前各界並沒有對AI做出明確定義。若研究AI的發展歷程,或許能從中獲得一些啟發。

在1956年前後,科學家們的想像是,將如同人類思考的機器命名為「人工智慧」,可以視為AI誕生的階段。來到1970到1980年代,即使AI能拼圖、玩簡單遊戲,但除此之外並無更實際的價值,而且無法處理大規模數據與複雜任務,加上運算能力尚未有重大突破,所以遇到瓶頸。

直到1980年代,人類將專業知識以有規則、有系統的方式傳授給電腦,讓電腦解決問題的「專家系統」有了更進一步的發展,也在1990年代起開始出現商業應用,但由於教導電腦學習規則比想像中困難,所以範圍仍受限,不過人工神經網路與SVM(支持向量機)已被發展出來。

2006年後,人類知道如何以相對低的成本來建構大數據基礎,在既有的機器學習基礎下,更能善用大量資料與運算能力,像是深度學習在語音、圖像辨識取得重大突破,加上由Google Deep Mind所開發的人工智慧圍棋程式「Alpha Go」在2016年圍棋軟體Alpha Go戰勝南韓圍棋棋王李世乭,更讓「AI無所不能」的相關話題備受討論,也將AI推進高度商業化的階段。

由這些歷程可以歸納出:廣義而言,一般人認知中的「機器學習」、「深度學習」都可以列入AI的一環;AI的目標就是使機器能模擬人類智力行為的各種功能,如學習、感知、推理論證、交流互動等能力。

曾韵指出,其實金融業一直都有在做資料分析,而且風險部門可謂模型的專家,若能妥善運用的話,AI的發展對金融業一定有加分作用,但人工智慧也有不可忽視的風險,像是駭客在網路上透過AI來竊取公司機密的機率提高,且有不少未知的法律責任,畢竟現在與AI有關的法規不多,如果AI出錯了,該如何究責?

現代的自動駕駛系統,就仰賴AI的機器學習能力為主,透過大量的圖像來學習辨識道路上可能出現的物體,但實際上路後會出現在道路上的,絕對不只車子而已,若是遇到事前訓練時意想不到的物件,即可能發生意外,直到現在自駕車所引發的車禍責任歸屬仍有不小的模糊空間。

另外,AI程式一旦出現錯誤,可能無法達到預期的效果,並可能會產生嚴重的誤導,或是AI識別數據中的模式要是本來就存在偏見,可能會帶入更多偏見與錯誤,之前有個很具代表性的例子是全球電商巨擘亞馬遜(Amazon)透過AI來篩選人才,展現出明顯的「重男輕女」傾向,引發不少爭議,這正是因為AI「吃」下公司過去10年來的簡歷中,以男性居多,導致AI判定無男性關鍵字的女性簡歷相對不重要。

但可以確定的是,不論是AI或其他數位工具,如今都逐漸普及,虛擬社會正逐漸演變成正式社會,這兩種社會的型態和特色看似大不相同,但一樣的是,都必須建構在「信賴」的核心基礎上,有完整的資安機制,方能滿足虛擬社會的互信需求,相關議題值得大家投注更多心力,對積極發展金融科技的金融業者而言,更是如此。

形塑金融業重視資安文化

至於該如何進行金融業的供應鏈資安管理?萬幼筠建議,形塑金融機構重視資安的組織文化,是根本所在,現階段國內要求設置有試著拉高資安議題層級,像是要求金融業者要設置副總層級以上的資安長,且導入資安的國際標準,都相當正面,而且應當系統化培育金融資安人才,像是開設專班、國際護照與職能地圖等。

要建立值得信賴的AI,也有方法。曾韵提醒,發展AI之際,除了追求績效(Performance)之外,還要掌握透明(Transparent)、無偏見(Unbiased)、有彈性(Resilient)、可解釋(Explainable)等原則。

所以,用戶與AI互動時,必須提供適當的通知,AI的訓練方法和決策標準可以被理解,且能被「文件化」,讓操作人員能進行挑戰與驗證;由開發團隊組成、資料和培訓方法所引起的內在偏見能夠被識別出來,並通過AI設計加以解決。

^