立委陳賴素美質詢李瑞倉

l  主委，近期金融機構資訊安全狀況多，銀行端陸續爆出去年一銀ATM遭盜領、證券端則在農曆年後爆出駭客攻擊，我想資安問題是必須正視的課題。

l  那我也知道金管會在2月底邀集各國銀的總經理，召開相關會議。

「研商本國銀行設置資訊安全專責單位及主管暨相關資訊安全事宜」

會中要求國銀需在6個月內設置資安專責單位，並要求銀行公會修正資安自律規範，提升全體國銀的資安防護程度會中達成2大共識，分別為：

1.   採循序漸進原則，請國銀依銀行規模、業務複雜度及營運風險等，於半年內設置資安專責單位及相當層級之專責主管，且配置適足人力及資源；

2.   請銀行公會持續配合資安現況適時修正相關資安自律規範，以供金融機構遵循。

l  據本席所知，金管會除了要求國銀設置資安專責單位，未來還需逐步將資安專責單位提升至獨立專責部門，進而維持執行資安業務的獨立性，請問主委是嗎？

l  好，回顧去年的一銀盜領事件揭露了臺灣各銀行的資安問題，去年8月金管會對外宣示將加緊規畫建置金融資安中心（F-ISAC）。當時以「提供金融業者資安預警、聯防功能，且此平臺將納入銀行、證券期貨與保險體系。」作為建置出發點，令人感覺金管會提升金融資安的決心。7個月過去了，當時金管會對外說今年第1季委外建置，預計今年第2季建置完成，目前進度如何？主委有掌握嗎？

l  那本席掌握的狀況是，金融資安中心目前正在辦理採購事宜，細節部分都還在研細，看起來要到第3季才能完成。

l  據我瞭解，當初金管會對外談到，說這個平臺主要涵蓋9大功能，包括漏洞通報、資安諮詢服務、資安事件通報與分享、提供技術訓練與舉辦國際研討會等。五花八門的功能，令人目眩不已。似乎有了這個平臺，台灣的金融資安問題能夠迎刃而解，老實說本席那時候也挺期待的。

l  但我赫然發現一件弔詭的事情，我先進行說明，再請主委回覆。根據新聞提到：

農曆年後的證券商受攻擊事件，總共有13家證券商遭到DDoS攻擊，僅有10家證券商通報給證交所。所以，金管會當時也要求未來受到網路攻擊的金融機構，必須立即通報證交所、證交所或相關主管機關，來強化金融機構的資安通報和分享機制。

l  上述這則新聞相信主委也記憶猶新，那我要請問主委：

1.        為什麼13家證券商受到攻擊，卻僅有10家證券商進行通報？真實情況是如此嗎？

金管會提供資料：

共19家收到恐嚇信，9家受到攻擊。業者皆有依規定至證券期貨市場資通安全通報系統通報，金管會證期局也協助通報行政院「國家資通安全通報應變網站」。

2.        那去年的一銀盜領事件時，金管會你們就宣示要建置金融資安中心平臺提供金融業者資安預警、聯防功能。

今年的證券商受攻擊事件，金管會再次提到資安通報、提到分享機制。

按照新聞來看過了一個年，好像金管會不要說做好金融資安，為什麼無法要求金融單位做好最基本的通報動作？是沒有相關機制？是金管會罔顧金融資安？還是根本無視了？

3.        還是說金管會打算要等到金融資安中心完成，才做得到最基礎的的通報機制？

4.        請金管會把各家證券商當時的通報詳細紀錄提供本席參考。另外也要主動針對新聞媒體的報導進行掌握，避免錯誤資訊在外界流竄。

l  金管會絕對不能處於被動，這樣民眾的權益或許可能就在金管會的輕忽下受損，主委你有意識到問題的嚴重性嗎？

l  本席認為金管會不能總是頭痛醫頭、腳痛醫腳，請金管會兩週內針對金融資安提出通盤性的檢討及相關期程，送交財委會。另外針對金融資安中心的相關預算、期程資料請在會後送到本席辦公室。

l  好，本席另外要請問主委，在兆豐案後請問金管會推出了什麼措施，主委記得嗎？

l  看來主委記得不是很清楚，那本席來替主委進行回憶好了：

由於兆豐案效應，金管會將推出五大反洗錢措施；2017年起，銀行、票券、信合社、信用卡公司等須設置防制洗錢的獨立專責單位。當時金管會對外說是預計2016年11月底公布，2017年起實施。

l  本席這裡要請問主委：金管會一下要成立反洗錢單位，又要成立資安部門。國銀真的有這麼多人力成本可投入？金管會有做過評估嗎？評估資料可以提供嗎？

l  我覺得金管會很認真的執行，但作法值得商榷，會不會到頭來只是從既有人手功能性編組給主管機關看？

l  現況來看，台灣其實已經是overbanking（銀行過度競爭）了，業者競爭激烈，但規模不夠下，如果又被要求這麼多為符合世界級銀行所需搭載的内控内稽配備，這有可能嗎？會不會造成銀行端的在經營上的困難？

還是金管會和銀行端只是虛應故事演戲給社會大眾看，所以根本不會造成經營上額外的負擔？

l  我想很多措施的推動主政者需要耗費更多時間進行思考，請金管會能更積極的進行改革，這部分請主委多費一點心思。