Hot News
金融業應用雲端首重資訊安全──把關從嚴!
文章發表:2023/04/17
與金融業相關的法規,堪稱「族繁不及備載」,且常有更動,海外據點更得關注所在國家的資訊安全法規。運用AI檢視是否符合資訊安全法規,可減少違法、違規,有助於建立一致性的管理機制,並節省人力成本。
為協助從業人員對金融業應如何安全地應用雲端服務有進一步的認識,台灣金融研訓院特邀勤業眾信聯合會計師事務所風險諮詢服務副總經理陳鴻棋,講解「金融機關雲端安全治理實務」,介紹全球雲端服務發展趨勢、樣態,與金融業監理、資安風險管理、智能化管理雲端服務之實務。
雲端是未來重點投資項目
陳鴻棋指出,經新冠疫情肆虐,WFH(Work From Home,居家工作)比例激增,促使全球企業積極擁抱雲端服務,而雲端遷移、雲端作業規劃、資訊安全、DevSecOps(Development、Security、Operations的合寫,兼顧安全的開發、維運)的需求成長尤為顯著。
「歐美國家企業已適應WFH風潮,台灣則仍有許多企業未習慣使用雲端,導致WFH仍深受限制。」陳鴻棋表示,從2020年到2025年,全球雲端市場規模預計將成長18%,而從2025年至2027年可望再成長6%。
若論雲端服務的個別項目,全球企業對雲端遷移的需求,已較先前增加了50%,雲端作業規劃需求增加了37.5%,資訊安全需求亦增加37.5%,而DevSecOps需求則增加了12.5%。據勤業眾信調查,大多數企業CEO(執行長)、CIO(資訊長)都認為,雲端將是企業未來的重點投資項目之一。
在亞太各國中,日本、中國兩國雲端市場成長最為快速,日本雲端市場現已成長21%,中國雲端市場則成長18%;到了2024年,日本、中國在亞洲雲端市場的合計占比將逾60%,前者占29%,後者占33%。其他國家的雲端市場,茁壯亦頗為迅猛,印度雖屬後段班,年複合成長率亦達15%。
在亞太雲端市場,台灣雲端市場占比僅約2%,年複合成長率雖有9.5%,卻低於其他國家。陳鴻棋樂觀地說,導入雲端已是全球企業的共同趨勢,台灣企業自然會跟進國際潮流,未來成長勢必加速,「雲端應用、建構資料中心、伺服器委外代管,將是擴張最快的幾項業務。」
與亞太國家相較,歐美國家應用雲端更為積極,不僅企業如此,公部門亦已廣泛、深度應用雲端科技,將檔案、資料上雲,以節省可觀的資料處理人力、時間。最知名的案例,當是美國政府為檢查前第一夫人希拉蕊(Hillary Rodham Clinton)的日誌有無資料外洩,租借200多台虛擬伺服器,僅花了9個小時,就查核完11,000多頁的PDF檔資料。
先進國家多以政策推動雲端
「將資料遷移到雲端,大多數CEO、CIO最關心的皆是資安議題。」陳鴻棋直言,企業常用的Office365、G Suite,無法防範90%的惡意程式,因網路攻擊日益猖獗,微軟、Google等科技巨擘與各雲端業者,皆致力強化資訊安全,以提振用戶繼續使用雲端的信心。
「未來,網路攻擊勢必有增無減,成為企業發展的大敵。」陳鴻棋認為,雲端業者的防護機制與資源,必定比單一企業更完整,相信將有越來越多企業從地端(On-Premise,指購買授權軟體,安裝在辦公室電腦中)轉向雲端,以尋求保護。
雲端其實是提供一個原生環境,從中衍生的應用、服務、業務,正不斷地推陳出新。今日的雲生態系,市占率最高的雲端服務,為AI、物聯網、區塊鏈、大數據分析、聊天機器人(Chatbot)等,而元宇宙(Metaverse)、量子電腦(Quantum Computer)可望是後起之秀。
除了雲服務,雲端還可應用於企業系統、軟體的最佳化,與基礎設施、建設的最佳化,及進行DevOps(Development、Operations的合寫,開發、維運)。陳鴻棋分析,雲原生企業與地端企業差距甚大,地端企業多透過伺服器、虛擬化環境,開發資訊系統,隨著雲端技術日新月異,資料運算需求越來越大,企業應變時間越來越短,勢必將相繼使用雲端。
與傳統新服務、新產品開發平台相較,雲端提供的原生環境,可協助敏捷開發新產品、新服務,特性是靈活、可調節、可持續變化,並促使成本最佳化。在使用雲端後,企業資訊人員就得不斷精進編寫程式技能、架構系統技能、資訊安全技能,還得持續學習新的數位工具。
為強化企業競爭力,國際各先進國家紛紛針對雲端,訂定創新科技應用計畫。例如,英國訂定G-Cloud計畫,以中央政府的力量,挹注各部會雲端資源;美國制定Cloud First計畫,敦促各政府機關,將資料、檔案遷移至雲端上;以色列推動e-Gov計畫,加速電子化政府進程;新加坡則施行eGov戰略,藉此整合眾多與數位化相關的科技政策,讓人民、政府電子溝通更順暢。
應提防科技風險、策略風險
先進國家以政策推動雲端,也制定嚴謹的雲端安全法規,以強化雲端用戶的安全防護;雲端業界也推動安全標準,為資訊安全把關。陳鴻棋建議,企業上雲前,得嚴挑雲端業者,查詢、確認其是否通過相關的資訊安全規範與標準,如ISO27001認證、CSA(Cloud Security Alliance,雲端安全聯盟)的Cloud Control Matrix等,如此較有保障。
2022年初,WEF(World Economic Forum,世界經濟論壇)示警,全球的科技風險正持續增加中,科技風險包括網路攻擊、勒索病毒、資料詐欺或竊盜、資訊基礎建設遭破壞,與科技發展產生的負面影響。
「許多企業ESG(Environmen-tal、Social、Governance)指標都已將資訊安全納入考量範疇內。」陳鴻棋強調,網路攻擊、資訊基礎建設遭破壞兩者,現皆名列影響企業的前10大風險,「面對科技風險,過去企業總以為,只要做足了防備,就可以躲過所有攻擊。然而,現在企業要改變心態,體悟到縱使防備再嚴密,一定會遭到網路攻擊,得預備應變計畫。」
除此,雲端監控不夠齊備、管理人員權責不明、IT人員能力不足以應變,與無力進行獨立評估、無力制約供應商、無力因應法律變遷、無力遵循法律規範與國際標準,及未規劃雲平台的攜帶性(指資料可遷移至別的雲)、互通性,都是企業應注意的科技風險。
不僅得注意科技風險,陳鴻棋提醒,企業還得注意策略風險,如雲端策略缺乏連續性、不符合商業需求,並提防由合作夥伴所引發的安全漏洞,「應特別注意,放到雲端上的系統、服務、資料,應僅限使用者存取,其他人不可存取。未來,大多數企業不會採用單雲,而是採用多雲、混合雲,如何分工、協調不同雲,將成為維護資訊安全的一大挑戰。」
建立雲端資訊安全治理框架
「雲端安全的範疇,應包括網路安全、雲端架構安全、開發工具與應用系統安全、微服務與上線平台安全、威脅監控、漏洞管理、端點防護、身分權限界定,及資料蒐集、傳輸、處置的安全,與針對資安事件進行偵測、校正。」陳鴻棋呼籲企業,應了解這些面向若發生安全疑慮、事件,對企業有何影響,又應如何因應、救濟,「也應了解雲端業者提供哪些基礎防護,哪些防護需要『加價購』!」
面對資訊安全威脅,企業應先建立雲端資訊安全治理框架,不僅得在實務上確實可行,還得兼顧國家法規、業界安全標準。台灣金融業上雲,應注意的法規,主要有《金融機構作業委託他人處理內部作業制度及程序辦法》第19章,與《金融機構運用新興科技作業規範》中關於資訊安全的條文。
與金融業相關的法規,堪稱「族繁不及備載」,且常有更新、變動。有些金融機構還有海外據點,更得關注所在國家的資訊安全法規。陳鴻棋建議,企業應運用AI,檢視是否符合資訊安全法規,如此將可減少違法、違規情形,有助於建立一致性的管理機制,並節省人力成本。
值得特別注意的是,企業上雲後,與之相關的組織,都必須進行調整,主管、員工權責也得界定、釐清,不能將地端的組織架構、作業流程,直接套用在雲端上。畢竟,在技術、安全需求層面,兩者差異甚大,若直接套用,不僅作業不順暢,更容易出現安全上的漏洞。
在建立雲端資訊安全治理框架,企業還得進行雲端安全評估,規劃雲端安全控制措施,此後還得因應雲端技術、法規的演進,持續修正、調整。陳鴻棋提醒:「雲端變化比地端快速,唯有安全控制措施持續修正、調整,才能形成正向的循環,確保資訊安全。」
透過雲端服務,金融機構不僅可強化內部資訊共享、整合,還能加速跨行合作,拓展更多原本受限於實體場域的客戶,還可針對客戶的業務、財務,進行更廣泛的分析,提供標準化的處理服務,降低組織營運成本,更具市場競爭力!
資料來源
- 台灣銀行家,2023年3月號
