趕在年底前,臺灣第一個針對金融業所設立的金融資安資訊分享與分析中心(F-ISAC)今日(12/22)正式掛牌成立,未來將協同全臺超過200多家的銀行、保險及證券期貨等業者,共同來打造金融圈的資安情資聯防網路。金管會委由財金資訊公司負責中心營運,中心從12月已啟用,開始提供資安預警情資及弱點分析等服務。
在去年總統蔡英文大力宣誓「資安即國安」的政策方針下,首要任務就是強化8大關鍵基礎設施(含能源、水、通訊、交通、金融、醫療及救援、高科技)的資安防護措施,因此要求各主管機關,都必須在今年度建置資安資訊分享與分析中心(Information Sharing and Analysis Centers,ISAC),來提高整體國家資安防護的能力。金融業則是開出第一槍,由金融主管機關金管會今天正式揭牌,成立金融資安資訊分享與分析中心(F-ISAC),將聯手臺灣金融業者共同打造金融圈的資安聯防體系。未來也將全面配合國家資安政策的推動。
「F-ISAC中心的成立,代表臺灣金融資安已經邁入一個新的里程碑。」金管會主委顧立雄在會中表示,早從去年3月他們就開始規劃成立F-ISAC,後來,先由證交所打造一個示範性的證劵期貨資安分享中心,開始展開演練,也替一年後今天成立的F-ISAC打下基礎。他更透露,去年2月臺灣多家證券商遭受到DDoS攻擊勒索時,證交所的情資中心馬上發揮功用,不只協助多家證劵商即時監控網路下單服務有無異常,還針對遭受攻擊的業者利用流量清洗來緩解攻擊流量,同時建立緊急應變處理中心以加快反應處置時間,將損害降到最小。
不過他也強調,「今天我們面臨的資安情勢,已經不再是一個單打獨鬥的年代,」光只是有F-ISAC中心還不夠,更需要金融機構的全面參與,以及各領域資安專家的協助,才能夠打造一個強而有力的金融資安聯防體系,以維繫金融市場的資訊安全。
F-ISAC中心啟用後,金管會委由負責金融機構之間跨行交易系統介接及帳目清算服務的財金資訊公司負責營運,F-ISAC組織架構上,最高設有經理一名,負責推動兩大主要業務,一個是資安服務、另一個是資安研析,資安服務之下還會將分成2組,行政業務組和防護服務組。至於資安研析業務也同樣分成資安研析組、技術研發2組。
F-ISAC中心還設有一個由金管會和金融公(協)會代表成員組成的F-ISAC發展委員會,將負責推廣責F-ISAC業務,還會招攬產官學界的金融和資安專家,擔任資安顧問從旁協助,提供法規及技術方面的諮詢,另外也將會有合作的協力廠商,以便於在資安事件發生時,可以提供更即時提供協助。目前F-ISAC國內合作的資安廠商有2家,中華電信和凌群電腦。
F-ISAC中心將專推9大項資安情資與分析服務
F-ISAC中心經理蘇偉慶表示,F-ISAC中心自12月已經啟用營運,未來F-ISAC的服務範圍,將會涵蓋銀行、保險、證劵期貨、投信投顧等業別金融企業,並將提供9大項服務,包含資安事件通報、情資研判分析、資安資訊分享、協處資安諮詢與評估、研討會、教育訓練及國際交流、資安專提研究分析、協助資安事件應變處理、金融機構資安演練,以及協助資安規範評估與建議。
F-ISAC中心至今已經提供可以取得的情資分享資訊,包括了3則與勒索軟體、SWIFT攻擊有關的資安威脅情資報告,一個弱點公告、一個TANet惡意攻擊的公開訊息,以及發出4個資安情資周報。
F-ISAC中心啟用營運至今,蘇偉慶表示,目前已有23家證劵業者提交申請,正在審理當中,之後也會由各個金融主管機關發函通知各個金融機構來申請。
對於金融業要不要加入F-ISAC中心,雖然目前並沒有強制規定。不過金管會資訊服務處處長蔡福隆表示,以銀行業者來說,目前國內共有38家,未來都會成為F-ISAC的成員,另外保險和壽險業者之後也將一併納入,至於證劵業者加不加入,他表示,因為投信投顧公司規模大小不一,所以將視需求再決定要不要納入。粗估這些數量加總起來,他預估,將會200家以上的金融業者加入。
F-ISAC中心也揭露未來3年的發展目標,明年將先建立起金融圈國內外重要情資蒐集管道,並提供資安情資研析服務,也要建構與國家N-ISAC及其他ISAC的交換分析情資平臺,更要建立起資安資訊分享和事件通報流程的SOP,讓大家有一套共通標準可以遵循。下一階段,則計畫能依金融機構的業務屬性,來提供個別的資安分析服務,包括分析新興攻擊手法、或潛在威脅,以及提供警示訊息等。
在資安諮詢及資安事件應變上,F-ISAC中心也將與資安廠商合作,來協助業者進行資安控管和漏洞評估,以及針對資安事件提供緊急應變的處理,接下來,更要建置自己一套資安漏洞情資資料庫。在資安演練部分,也將定期執行資安演練,並同樣將建立資安演練情境資料庫,可以用來分析演練的成效。另外也將定期舉辦資安研討會,或教育訓練等,來促進更多金融資安實務經驗交流與分享,未來更計畫導入金融資安專業認證機制。
今天也到場參加啟用儀式的臺灣駭客年會(HITCON)創辦人徐千洋則表示,F-ISAC中心的正式啟用,對於政府宣誓金融資安的重視程度,其實具有像徵性的意義,但他認為,目前才剛成立,還沒有真正進行到實際執行階段,還得再多觀察。
他解釋,雖然F-ISAC想要提供這8大項資安情資和分析服務,但他認為,要做好這8大項服務並不是件容易的事,他也舉情資分享當例子,即使已經成為F-ISAC的成員,但要做到真正能讓金融業者願意分享情資,而不藏私,得先從改變業者的觀念做起,這不是短時間就能做到。他認為,資安事件通報會是這些服務中比較可以先先推行成功的,其他服務都有其各自的挑戰。
from iThome 新聞 http://ift.tt/2C17SfC
沒有留言:
張貼留言