強化銀行資安防護 金管會軟硬兼施

（中央社記者蔡怡杼台北10日電）為督促銀行落實執行資訊安全防護能力，金管會軟硬兼施，不僅完成整體銀行業的資安金檢，日前更邀集37家國銀與會，這也是金管會首度邀集擔任內控第二道防線的法遵、資安主管參加座談會。

鑑於金融機構遭駭客攻擊事件頻傳，如第一銀行ATM遭盜領、遠東銀行SWIFT （環球銀行間金融電訊網路）系統遭駭等，凸顯資訊安全已成為重要議題，金融監督管理委員會5日召開本國銀行資安宣導座談會，邀集37家本國銀行法遵、稽核及資安部門主管共同參與，以強化內控三道防線對資安風險及防禦機制的認知。

本次資安會議由金管會副主委兼資安長黃天牧主持，會中就金融資安資訊分享與分析中心（F-ISAC）、資安監理重點、資安風險認知及資安資訊分享、近期資訊作業主要檢查缺失態樣及較佳實務4大議題進行說明。

金管會表示，本國銀行表達對資安議題的高度興趣，甚至有銀行派了7名主管與會，因此，本次座談會吸引多達160人與會，且不同於以往檢查局只找內控制度第三道防線的內部稽核主管與會，座談會首次找來第二道防線的法遵以及資安主管參與，金管會未來將視情況、議題，不定期召開類似座談會。

同時，金管會也表示，金管會先前已對26家銀行進行一般金檢，之後爆發遠銀SWIFT系統遭駭後，立法院財政委員會要求對本國銀行資安進行專案檢查，金管會隨即對剩餘12家銀行進行專案金檢，即金管會已對全體銀行的SWIFT系統做過一輪金檢。

金管會分享近年本國銀行近期資訊作業主要檢查缺失態樣包含職務分工有違牽制原則、網路架構設計不當及管控機制不完備、網路監控作業不妥適、網路防火牆規則設定不當或異動程序欠妥善、甚至行員使用虛擬私有網路(VPN)，自行外登入銀行內部網路的控管措施未完善等。

檢查局甚至發現有銀行在數位存款帳戶的開戶審查作業上的缺失，如無關連的客戶，卻使用同一IP申辦帳戶、無關連客戶卻有留存相同手機號碼或電子郵件信箱等異常線上申辦情形，而銀行卻未建立系統檢核或人工審查機制，這些帳戶恐有被利用開立人頭帳戶的疑慮。

金管會強調，數位存款帳戶雖然是非面對面的線上服務，但銀行面對異常線上申辦情況應建置異常開戶表徵，強化開戶審查措施。

同時，金管會也公布今年資通安全管理檢查的五大重點，一是資安專責單位與專責主管的設置及指派；二是ATM及SWIFT等支付系統安全防護措施；三是數位金融業務以及APP開發及上架的管理機制；四為模擬駭客攻擊情境的演練作業；五為數位證據的蒐集、保留程序與機制。

金管會最後表示，駭客攻擊有三大特徵，包含利用長假前後發動攻擊、入侵管道不明，以及以合法掩護非法，呼籲金融機構加強春節期間資安控管措施，並持續注意強化資通安全防護機制，落實遵循相關資安自律規範。（編輯：楊玫寧）1070210

本網站之文字、圖片及影音，非經授權，不得轉載、公開播送或公開傳輸及利用。