2017年3月8日

立委陳賴素美質詢李瑞倉

l  主委,近期金融機構資訊安全狀況多,銀行端陸續爆出去年一銀ATM遭盜領、證券端則在農曆年後爆出駭客攻擊,我想資安問題是必須正視的課題。
l  那我也知道金管會在2月底邀集各國銀的總經理,召開相關會議。
「研商本國銀行設置資訊安全專責單位及主管暨相關資訊安全事宜」
會中要求國銀需在6個月內設置資安專責單位,並要求銀行公會修正資安自律規範,提升全體國銀的資安防護程度會中達成2大共識,分別為:
1.   採循序漸進原則,請國銀依銀行規模、業務複雜度及營運風險等,於半年內設置資安專責單位及相當層級之專責主管,且配置適足人力及資源;
2.   請銀行公會持續配合資安現況適時修正相關資安自律規範,以供金融機構遵循。
l  據本席所知,金管會除了要求國銀設置資安專責單位,未來還需逐步將資安專責單位提升至獨立專責部門,進而維持執行資安業務的獨立性,請問主委是嗎?
l  好,回顧去年的一銀盜領事件揭露了臺灣各銀行的資安問題,去年8月金管會對外宣示將加緊規畫建置金融資安中心(F-ISAC)。當時以「提供金融業者資安預警、聯防功能,且此平臺將納入銀行、證券期貨與保險體系。」作為建置出發點,令人感覺金管會提升金融資安的決心。7個月過去了,當時金管會對外說今年第1季委外建置,預計今年第2季建置完成,目前進度如何?主委有掌握嗎?
l  那本席掌握的狀況是,金融資安中心目前正在辦理採購事宜,細節部分都還在研細,看起來要到第3季才能完成。
l  據我瞭解,當初金管會對外談到,說這個平臺主要涵蓋9大功能,包括漏洞通報、資安諮詢服務、資安事件通報與分享、提供技術訓練與舉辦國際研討會等。五花八門的功能,令人目眩不已。似乎有了這個平臺,台灣的金融資安問題能夠迎刃而解,老實說本席那時候也挺期待的。
l  但我赫然發現一件弔詭的事情,我先進行說明,再請主委回覆。根據新聞提到:
農曆年後的證券商受攻擊事件,總共有13家證券商遭到DDoS攻擊,僅有10家證券商通報給證交所。所以,金管會當時也要求未來受到網路攻擊的金融機構,必須立即通報證交所、證交所或相關主管機關,來強化金融機構的資安通報和分享機制。
l  上述這則新聞相信主委也記憶猶新,那我要請問主委:
1.        為什麼13家證券商受到攻擊,卻僅有10家證券商進行通報?真實情況是如此嗎?
金管會提供資料:
19家收到恐嚇信,9家受到攻擊。業者皆有依規定至證券期貨市場資通安全通報系統通報,金管會證期局也協助通報行政院「國家資通安全通報應變網站」。
2.        那去年的一銀盜領事件時,金管會你們就宣示要建置金融資安中心平臺提供金融業者資安預警、聯防功能。
今年的證券商受攻擊事件,金管會再次提到資安通報、提到分享機制。
按照新聞來看過了一個年,好像金管會不要說做好金融資安,為什麼無法要求金融單位做好最基本的通報動作?是沒有相關機制?是金管會罔顧金融資安?還是根本無視了?
3.        還是說金管會打算要等到金融資安中心完成,才做得到最基礎的的通報機制?
4.        請金管會把各家證券商當時的通報詳細紀錄提供本席參考。另外也要主動針對新聞媒體的報導進行掌握,避免錯誤資訊在外界流竄。
l  金管會絕對不能處於被動,這樣民眾的權益或許可能就在金管會的輕忽下受損,主委你有意識到問題的嚴重性嗎?
l  本席認為金管會不能總是頭痛醫頭、腳痛醫腳,請金管會兩週內針對金融資安提出通盤性的檢討及相關期程,送交財委會。另外針對金融資安中心的相關預算、期程資料請在會後送到本席辦公室。
l  好,本席另外要請問主委,在兆豐案後請問金管會推出了什麼措施,主委記得嗎?
l  看來主委記得不是很清楚,那本席來替主委進行回憶好了:
由於兆豐案效應,金管會將推出五大反洗錢措施;2017年起,銀行、票券、信合社、信用卡公司等須設置防制洗錢的獨立專責單位。當時金管會對外說是預計201611月底公布,2017年起實施。
l  本席這裡要請問主委:金管會一下要成立反洗錢單位,又要成立資安部門。國銀真的有這麼多人力成本可投入?金管會有做過評估嗎?評估資料可以提供嗎?
l  我覺得金管會很認真的執行,但作法值得商榷,會不會到頭來只是從既有人手功能性編組給主管機關看?
l  現況來看,台灣其實已經是overbanking(銀行過度競爭)了,業者競爭激烈,但規模不夠下,如果又被要求這麼多為符合世界級銀行所需搭載的内控内稽配備,這有可能嗎?會不會造成銀行端的在經營上的困難?
還是金管會和銀行端只是虛應故事演戲給社會大眾看,所以根本不會造成經營上額外的負擔?
l  我想很多措施的推動主政者需要耗費更多時間進行思考,請金管會能更積極的進行改革,這部分請主委多費一點心思。



沒有留言: