【iThome 2023資安大調查系列2】金融業企業資安風險圖（2023～2024） 駭客攻擊和社交工程手段是金融業未來一年的兩大首要風險，而來自國家級攻擊組織的資 安風險在今年大幅增加也是金融業未來一年的次要風險項目。隨著金管會再次鬆綁金融上 雲規範，雲端供應商為跳板的攻擊，以及雲端服務資安事件的風險，可能會在2024年突然 驟增，也必須留意 文/王宏仁 | 2023-10-27發表 https://i.imgur.com/U1CDh3F.jpg 金融業向來是產業資安的模範生，不論在資安自信心和資安預算都居各產業之冠，2023年 金融業的資安預算更是高達了5,607萬元，比2022年成長了17.9%。一方面是金融主管機關 這兩年越來越積極要求金融資安作為，不只大力要求金融機構設立資安長等資安治理作為 ，今年更發布了金融資安行動方案2.0，是全球第一個帶頭鼓勵產業擁抱零信任的金融主 管機關。這些作為都再次驅使金融產業加碼資安投資。 這些資安法規的要求，再加上金融業積極推動數位轉型，擁抱更多現代化資安作法，金融 業2022年遭駭指數創新低，只有11%，是從2018年，我們開始追蹤臺灣大型企業資安災情 以來，五年內的最低點。換句話刷，金融業一年只有39天處於脆弱期，只有一個多月，足 足是高科技製造業的10個月脆弱期的八分之ㄧ。 不過，金融業對於這個資安災情還不滿意，目前金融業平均發生的重大資安事件減少到了 14.3次，平均發現攻擊時間也只有1.6天，但在系統遭駭後的平均復原時間仍然需要1.1天 。這個復原速度，對於身為關鍵基礎設施產業的金融來說，仍舊是需要進一步改善之處。 尤其，有許多金融服務的要求是不中斷的服務，一但停擺，對民生和經濟都會產生很大的 影響。 雖然金融業的資安預算相較其他產業寬裕，但是金融資安長仍然覺得還需要再多2成預算 ，才足以因應金融產業所面臨的資安威脅。如何更有效聚焦衝擊大風險高的威脅，也是金 融業資安長每年例行的重要課題。 從整體資安態勢來看，未來一年，金融業需要特別注意的首要風險有兩項，包括了駭客和 社交工程手段的威脅。駭客威脅向來是金融業特別警戒的資安風險，這幾年都是首要風險 。但，社交工程手段過去對金融業來說，屬於發生風險高但衝擊較低的資安項目，社交工 程手段在2022年的衝擊影響排名第七，發生風險排名第二，但是到了2023年，社交工程手 段的影響突然大幅提高，甚至超越了資料外洩的影響，和資安漏洞帶來的衝擊並列，而發 生風險更超越了駭客威脅，一舉成為金融業未來一年最可能發生的資安風險Top1。 生成式AI的熱潮，提高了企業對社交工程威脅的擔心，金融業尤其擔心ChatGPT淪為輔助 攻擊工具，也因此而更意識到，這類生成式AI可以助長社交工程手段的自動化和客製化， 因而，金融資安長們提高了未來一年對社交工程手段的警戒心，因此拉高了這一項的風險 等級，與駭客攻擊並列會金融兩大威脅。金融業也是唯一一個在衝擊高風險高的第一象限 中，出現ChatGPT成為輔助攻擊工具的產業，更凸顯了金融業對這一項風險的擔心。 另外，值得注意的是，除了2大首要風險，攻擊級攻擊組織的威脅，成了金融業未來一年 也需要留意的次要威脅。2024年是臺灣的大選之年，以往年經驗來看， 每到大選年都會 出現更多駭客攻擊事件和威脅，尤其是來自國家級組織的威脅，也會在的大選年嚴峻許多 。金融資安長們對於這一項資安風險的擔心，也反映到調查結果，讓這一項成了金融業今 年突然驟增的風險項目，因此，我們也以紅色字體標註來強調。 除了這三項之外，在衝擊高發生風險高的第一象限中，還有其他值得優先留意的風險項目 ，包括了釣魚網站、網路犯罪者的攻擊、資安漏洞事件、資料外洩事件、勒索軟體資安事 件（相較於其他產業，金融業對於這一項的擔心較低，風險等級不像其他產業列入首要風 險，但仍是第一象限等級的威脅）、軟體供應鏈資安事件以及先前提到的ChatGPT成為輔 助攻擊工具的威脅。 其中，軟體供應鏈資安事件逐漸受到重視的原因，與金融業積極擁抱雲原生技術有關，這 幾年金融業積極擁抱容器技術、微服務架構等，也連帶採用了許多開源軟體和開源技術， 這些技術背後使用了許多來自開源社群或各式各樣的上游開源元件，也讓金融業對於這些 元件的安全性提高警覺，因此更在意軟體供應鏈的威脅，不過，國內目前對於強化軟體供 應鏈安全的SBOM機制，採用意願和動力還不高，少數金融業自行建立安全開源軟體清單的 作法，限制開發團隊只能從這份審核過的開源軟體清單中，選擇適用的元件，而不能任意 使用外界開源軟體，來降低軟體供應鏈的威脅。 金融上雲再鬆綁恐提高2大資安威脅的風險等級 未來一年，還有一項值得關注的金融產業技術發展趨勢，就是金管會再次鬆綁了金融上雲 法規，銀行局、保險局、證期局的上雲規範同步大鬆綁，不僅統一了法遵步調，也大幅簡 化上雲申請流程，這將在2024年驅使金融業展開新一波加速上雲的浪潮。 這次鬆綁最大變革是大幅簡化了上雲申請流程，只有重大消金系統放上境外公雲，需要每 件都申請，其餘上雲只要有首例核准，其他銀行即可自行辦理，不用再申請。這會加速金 融業更積極上雲，也會帶動金融業採用雲原生技術的發展。但這也意味著，有兩項目前列 在第四象限（衝擊低發生風險低）的資安項目，雲端供應商為跳板的攻擊，以及雲端服務 資安事件，這兩項可能會在2024年突然驟增，進入了第一象限，成了金融業必須特別留意 的新風險。 資料來源：2023 iThome CIO大調查，2023年7月 https://reurl.cc/E1Yx6m --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.216.49.235 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/Public-Bank/M.1698416625.A.84B.html