網路攻擊不斷 美專家：小型企業衝擊大 建議「蹲馬步」資安作為

近年來，網路攻擊事件層出不窮，美國財政部網路安全和關鍵基礎設施保護辦公室主管表示，小型企業受到攻擊時，要負擔的成本極高，且難以回復到原貌，建議企業要有「蹲馬步」積極資安作為，才能抵禦相關攻擊；另政府和民間企業、以及友好的合作夥伴有效地分享資訊，甚至是跨國領域的合作，以防範有敵意國家或有心人士的攻擊。

台灣金融研訓院與美國在台協會（AIT）今日共同主辦「台美金融資安論壇」，總統蔡英文、AIT代表孫曉雅出席並致詞，由金融研訓院副院長林仲威主持，現場邀請美國財政部網路安全和關鍵基礎設施保護辦公室主管George salmoiraghi、Wilson Co和Steven Nider針對金融業資安政策與強化金融服務業安全與韌性的方法進行演講。


George salmoiraghi分享美國財政部網路安全和關鍵基礎設施保護辦公室（OCCIP），如何整合公部門和民間、產業的金融資安問題及因應之道。他表示，OCCIP的主責在於協調各單位，特別在911恐怖攻擊後、辦公室正式成立，當時網路正要開始發展，重點在於推動國防要素、驅動所有面向，確保基礎設施安全的可用性和安全性，並進行弱點評估，布建資訊分享和跨部會協調。

George salmoiraghi指出，情報分享也十分重要，必須有一個團隊負責持續交流，即便在疫情期間，也能運用科技讓更多相關單位參與，目前團隊有1200名參與者，針對金融業等相關單位提出建議，同時，找出威脅跟弱點進行演練，風險管理跟減緩風險是現階段的兩大重點，設計更有效的演練，檢視金融機構跟設施之間的相互操作性。

近年來資安事件及相關謠言甚囂塵上，國內金融機構業者問及，如何研擬推動相關政策並進一步強化金融穩定度。George salmoiraghi建議，要能辨識潛在風險，其實謠言攻擊並未如此有效，可以跟更多合作夥伴分享資訊，來防範有敵意國家或有心人士的攻擊；另在受到衝擊時，OCCIP會匿名與相關單位合作，分享目前狀態，提升到全國層級的因應機制，甚至是跨國合作。



另有業者關切，金融業面臨不斷新興的科技及人工智慧（AI），如何兼顧風險又能享有新興科技帶來的益處；又美國允許加密貨幣，但加密貨幣已被駭客或其他不法集團濫用，主要因其匿名性又防竄改，如何權衡開放或禁止的利弊得失？

George salmoiraghi表示，新科技日新月異，因應之道要與時俱進，目前OCCIP正開始思考金融服務業推動AI時會有哪些優缺點，基本上採取中立態度，如何放大好處、降低風險會是未來關注的重點。

至於加密貨幣問題，他也不諱言，並不樂見此狀況，特別是中小型企業，遭遇勒索軟體攻擊，由於受限規模，人工僅1至2名，可能花費2000美元就會復原，實際若想回復正常樣貌，就要花費到1萬美元，是小型企業難以承擔的，期待企業對勒索軟體或分散式阻斷服務（DDoS）要有敏感度，最好要有「蹲馬步」積極作為，才能抵禦相關攻擊。