【iThome 2023资安大调查系列2】金融业企业资安风险图（2023～2024） 骇客攻击和社交工程手段是金融业未来一年的两大首要风险，而来自国家级攻击组织的资 安风险在今年大幅增加也是金融业未来一年的次要风险项目。随着金管会再次松绑金融上 云规范，云端供应商为跳板的攻击，以及云端服务资安事件的风险，可能会在2024年突然 骤增，也必须留意 文/王宏仁 | 2023-10-27发表 https://i.imgur.com/U1CDh3F.jpg 金融业向来是产业资安的模范生，不论在资安自信心和资安预算都居各产业之冠，2023年 金融业的资安预算更是高达了5,607万元，比2022年成长了17.9%。一方面是金融主管机关 这两年越来越积极要求金融资安作为，不只大力要求金融机构设立资安长等资安治理作为 ，今年更发布了金融资安行动方案2.0，是全球第一个带头鼓励产业拥抱零信任的金融主 管机关。这些作为都再次驱使金融产业加码资安投资。 这些资安法规的要求，再加上金融业积极推动数位转型，拥抱更多现代化资安作法，金融 业2022年遭骇指数创新低，只有11%，是从2018年，我们开始追踪台湾大型企业资安灾情 以来，五年内的最低点。换句话刷，金融业一年只有39天处於脆弱期，只有一个多月，足 足是高科技制造业的10个月脆弱期的八分之ㄧ。 不过，金融业对於这个资安灾情还不满意，目前金融业平均发生的重大资安事件减少到了 14.3次，平均发现攻击时间也只有1.6天，但在系统遭骇後的平均复原时间仍然需要1.1天 。这个复原速度，对於身为关键基础设施产业的金融来说，仍旧是需要进一步改善之处。 尤其，有许多金融服务的要求是不中断的服务，一但停摆，对民生和经济都会产生很大的 影响。 虽然金融业的资安预算相较其他产业宽裕，但是金融资安长仍然觉得还需要再多2成预算 ，才足以因应金融产业所面临的资安威胁。如何更有效聚焦冲击大风险高的威胁，也是金 融业资安长每年例行的重要课题。 从整体资安态势来看，未来一年，金融业需要特别注意的首要风险有两项，包括了骇客和 社交工程手段的威胁。骇客威胁向来是金融业特别警戒的资安风险，这几年都是首要风险 。但，社交工程手段过去对金融业来说，属於发生风险高但冲击较低的资安项目，社交工 程手段在2022年的冲击影响排名第七，发生风险排名第二，但是到了2023年，社交工程手 段的影响突然大幅提高，甚至超越了资料外泄的影响，和资安漏洞带来的冲击并列，而发 生风险更超越了骇客威胁，一举成为金融业未来一年最可能发生的资安风险Top1。 生成式AI的热潮，提高了企业对社交工程威胁的担心，金融业尤其担心ChatGPT沦为辅助 攻击工具，也因此而更意识到，这类生成式AI可以助长社交工程手段的自动化和客制化， 因而，金融资安长们提高了未来一年对社交工程手段的警戒心，因此拉高了这一项的风险 等级，与骇客攻击并列会金融两大威胁。金融业也是唯一一个在冲击高风险高的第一象限 中，出现ChatGPT成为辅助攻击工具的产业，更凸显了金融业对这一项风险的担心。 另外，值得注意的是，除了2大首要风险，攻击级攻击组织的威胁，成了金融业未来一年 也需要留意的次要威胁。2024年是台湾的大选之年，以往年经验来看， 每到大选年都会 出现更多骇客攻击事件和威胁，尤其是来自国家级组织的威胁，也会在的大选年严峻许多 。金融资安长们对於这一项资安风险的担心，也反映到调查结果，让这一项成了金融业今 年突然骤增的风险项目，因此，我们也以红色字体标注来强调。 除了这三项之外，在冲击高发生风险高的第一象限中，还有其他值得优先留意的风险项目 ，包括了钓鱼网站、网路犯罪者的攻击、资安漏洞事件、资料外泄事件、勒索软体资安事 件（相较於其他产业，金融业对於这一项的担心较低，风险等级不像其他产业列入首要风 险，但仍是第一象限等级的威胁）、软体供应链资安事件以及先前提到的ChatGPT成为辅 助攻击工具的威胁。 其中，软体供应链资安事件逐渐受到重视的原因，与金融业积极拥抱云原生技术有关，这 几年金融业积极拥抱容器技术、微服务架构等，也连带采用了许多开源软体和开源技术， 这些技术背後使用了许多来自开源社群或各式各样的上游开源元件，也让金融业对於这些 元件的安全性提高警觉，因此更在意软体供应链的威胁，不过，国内目前对於强化软体供 应链安全的SBOM机制，采用意愿和动力还不高，少数金融业自行建立安全开源软体清单的 作法，限制开发团队只能从这份审核过的开源软体清单中，选择适用的元件，而不能任意 使用外界开源软体，来降低软体供应链的威胁。 金融上云再松绑恐提高2大资安威胁的风险等级 未来一年，还有一项值得关注的金融产业技术发展趋势，就是金管会再次松绑了金融上云 法规，银行局、保险局、证期局的上云规范同步大松绑，不仅统一了法遵步调，也大幅简 化上云申请流程，这将在2024年驱使金融业展开新一波加速上云的浪潮。 这次松绑最大变革是大幅简化了上云申请流程，只有重大消金系统放上境外公云，需要每 件都申请，其余上云只要有首例核准，其他银行即可自行办理，不用再申请。这会加速金 融业更积极上云，也会带动金融业采用云原生技术的发展。但这也意味着，有两项目前列 在第四象限（冲击低发生风险低）的资安项目，云端供应商为跳板的攻击，以及云端服务 资安事件，这两项可能会在2024年突然骤增，进入了第一象限，成了金融业必须特别留意 的新风险。 资料来源：2023 iThome CIO大调查，2023年7月 https://reurl.cc/E1Yx6m --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 49.216.49.235 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Public-Bank/M.1698416625.A.84B.html