金融界又確診!中信證實2員工染疫 分屬銀行與人壽

img ]

A+ A-

中國信託金控旗下中國信託商業銀行、台灣人壽保險公司各有一位員工確認染疫,中信金稍早宣布,為保護同仁安全及避免感染風險,立即針對同一辦公樓層同仁實施居家辦公及自主健康管理,並於辦公大樓進行全面清潔消毒作業,相關工作接觸者目前健康狀況良好。

為防範疫情,中國信託金控及各子公司每日落實疫情通報管理機制,各辦公大樓、營業場所人員均需戴口罩、勤洗手、保持社交距離,電梯密閉空間內不交談,辦公大樓定期消毒。因應疫情嚴峻,中信金控持續限制跨棟人員交流及外部人員來訪,業務聯繫採電話或視訊會議,暫停使用公共空間設施,上班期間全程戴口罩,暫停不必要的跨區差旅等加強防疫管理。

另一方面,中信金控已於5月17日啟動上下班分流、異地備援及居家辦公等機制,以降低疫情影響,全臺各分行及營業據點櫃檯員工配置防疫面罩,持續增設壓克力隔板加強防護,採實聯制登記並於單一入口量體溫戴口罩,營業場所每小時消毒一次,同時啟動第四級警戒的防疫演練準備,力行防疫從嚴、服務不中斷的精神,維持公司正常營運。

疫情期間,中信金控呼籲同仁及客戶,多注意自身及家人健康,身體若有不適,請儘速就醫及在家休息,避開所有接觸感染風險的機會,保護自己、家人、同仁與客戶的健康。攜手抗疫,相互守護,一起安然度過最艱難的疫情時期。

首家產險導入銀行OpenID 國泰銀400萬存戶先行

img ]

國泰金控致力集團數位轉型,今(21日)宣布,國泰產險與國泰世華銀行攜手,於國泰產險官網導入「國泰世華網路銀行帳號OpenID身分驗證服務」!這也是金管會開放金控業者可與集團子公司合作雙向身分認證後,首家產險導入銀行OpenID驗身服務,超過四百萬國泰世華存戶率先體驗。

國泰金積極開發以客戶體驗為中心的數位服務。繼國泰世華銀行與國泰人壽率先合作導入身分認證,又在國泰產推出「銀行帳號OpenID身分驗證服務」!超過四百萬國泰世華存戶只要使用網銀帳號驗證,即能登入國泰產險官網,快速查詢完整保單狀況、事故通知、線上繳費與續保。

推薦

國泰金控暨國泰產險副總經理梁明喬表示,國泰金控旗下子公司間客戶重疊率高,產險客戶同時是國泰世華銀行客戶占比高達6成,如何讓國泰客戶更順暢、無痛轉換在不同子公司的服務,擁有更方便安全的體驗,一直是集團經營的目標。有鑑於網路銀行使用頻率通常高於線上保險服務,對用戶而言銀行數位帳號更熟悉,加上銀行數位帳號的身分驗證機制和資安權限都十分嚴謹,此次導入OpenID將能大幅提升用戶體驗,提供更好的服務。

不僅如此,根據國泰產險觀察,2020年官網更新上線後,會員最常使用的功能之一竟是「忘記密碼」。為解決用戶記憶多組帳號密碼之痛點,此次攜手國泰世華銀行推出網銀帳號OpenID身分驗證服務,未來客戶僅需利用網銀作驗證,就可在國泰產險網站得到完整保險數位服務。大幅節省找業務員或親臨保險公司等待的時間。

國泰金控暨國泰世華銀行副總經理陳冠學表示,團隊為了做出數位有感的產品,從客戶角度出發做出實際符合客戶思維的數位產品,應主動將服務落實集團全客戶,而不是讓客戶苦於辨識各子公司來尋找服務。為達成集團跨子公司數位服務銜接,國泰金控透過國泰世華銀行建立起縝密的身分認證系統,透過銀行驗身中台,以API串聯銀行身分驗證中心來整合國泰產險會員認證,打破過往產險數位會員身分驗證僅能透過手機OTP與密碼的機制,讓產險客戶享有與銀行同規格之驗證服務。

此次導入多元身分認證,不僅為讓集團旗下子公司更加緊密合作,也能站在以用戶為中心的角度,付出努力讓國泰客戶穿梭在不同業務平台間有更完善的數位體驗。國泰將秉持「What if We Could(如果不問如果,又怎麼知道,其實我們能夠)」精神,強化內部合作以提升客戶體驗,使金融服務更能融入客戶生活且貼近使用習慣。

【臺灣資安大會直擊】玉山銀行如何落實資安有效性?資安長揭露3大關鍵

img ]

「一位盡責的資安長為何會夜不成眠?因為他要擔心的事太多了,從網站、伺服器、應用程式、端末設備、使用者,甚至第三方供應商,都可能造成資安事件。即便訂好相關規範,買了資安設備,做完教育訓練,老闆問起資安做得好不好,為什麼CISO還是沒有信心?」玉山銀行資安管理處資安長陳榮俊在臺灣資安大會金融資安論壇道出了CISO的心聲。

陳榮俊進一步提到,建構完善資訊安全系統有3大面向:「程序」、「人員」、「科技」。可是,他坦言,即便都能兼顧,也不代表資安就做到位,就像設了資安規範還不夠,「必須了解訂定規範背後的意義,以風險為考量進行規畫與執行,才是有效落實性的真諦。」

陳榮俊更以程序、人員、科技這3大面向,進一步揭露玉山在落實資安有效性所面臨的挑戰及關鍵因應心法。

導入ISMS資訊安全管理系統,統一內部資安依循標準

首先,在程序面,玉山在2012年便擁抱國際標準,建立ISMS資訊安全管理系統的運作機制,隔年正式取得ISO 27001驗證,作為資訊科技團隊運作的基礎。

陳榮俊表示,不只藉此掌握資安治理全貌,也讓千人科技聯隊,有統一的資安依循標準。近年,玉山更透過不同面向的資安框架,來檢視自家資安防護是否允當,包括NIST CSF、MITRE ATT&CK。最重要的是,建立PCDA良性改善循環機制,逐步提升自身資安成熟度,同時,「也要了解同業資安水準,才能將資源放在刀口上。」他補充。

然而,「即便組織內部建立了SOP,仍會有人便宜行事。」為了避免員工有這樣的心態,玉山在系統控管上,留下軌跡搭配查核制度,包括自行查核與內外部稽核,來警惕員工不要以身試法。此外,他強調,必須在流程的重要關卡設立控制點,比如,開放防火牆,必須通過資安管理處放行才能生效。

將資安教育訓練與績效連結,讓各單位發揮守望相助精神

在人員部分,陳榮俊表示,在教育訓練上,為了提供豐富多樣的課程,玉山內部嘗試過影片、漫畫來提高員工的學習興趣,也安排工作坊透過情境模擬來進行討論,以積極參與的訓練方式,提升員工資安意識與能力。而為了讓教育訓練有效,玉山還會透過考試,讓員工還有一次的機會教育。

此外,玉山還會利用團隊的力量來要求,建立分組共責的連坐制度。當一個人做不好,就會連累整個小組,甚至是整個單位。陳榮俊舉例,玉山每個月都會進行社交工程演練,若因個人不小心,讓整個單位無法達標,該單位就須加強資安教育訓練,也會通知該名員工的單位主管作為考績的參考。

他強調:「如此一來,大家就會發揮守望相助的精神。」任何一人發現了疑似有社交工程的狀況時,就會通知全單位有這類信件,請大家特別留意,所有人也會為了團隊榮譽全力奮戰。「這是玉山落實資安有效性的心法。」

玉山更會以風險導向機制決定人員訓練的頻次。比如,社交工程演練,如果有人常會開啟連結與附件,就屬於高風險的人,內部就會要求這些人做更多訓練。玉山也將教育訓練與績效連結,將犯錯記錄列入平日考核,「讓他感覺到痛,就有機會改正粗心。」陳榮俊說。不過,他認為,最有效的是制度面的改善,利用制度輔助,例如流程控管、檢查清單,來降低落實不安全的風險。

此外,「企業普遍的痛點是找不到有經驗的資安人力,還要避免自家資安人員被挖角。」這也是資安長夜不成眠的原因之一。為此,陳榮俊表示,玉山的作法是從培訓新人開始,玉山資安處現有20名成員,其中三分之一以上都是新人。不過,他坦言,新人畢竟欠缺專業,也沒有實務經驗,所以,玉山透過團隊學習,比如讀書會、分組技術研討等,來提升新人的專業能力。

對於有潛力的新人,玉山內部還會透過輪調實習的方式,將新人調到資訊單位,學習網路管理、伺服器管理、資料庫管理、程式開發等。「希望藉此培養新人多維度的專業能力,同時,也能強化資安處與一、二道防線的協作。」他強調。

確定公司發展方向,掌握核心的關鍵能力

在科技面,陳榮俊拋出一個問題,資安產品琳琅滿目,企業該如何選擇?他表示,可以多看、多聽、多交流,比如參與廠商研討會、閱讀媒體報導或多與同業互動,這是第一步。

接下來,企業必須發掘自身痛點,透過情境模擬進行POC測試,他強調,企業必須自行設計POC情境,千萬不要直接用廠商情境來驗證,因為,常見的廠商情境是為了驗證產品功能;他建議,廠商可以好好了解甲方痛點,設計出適合甲方的情境再來驗證,才能達到雙贏的效果。

陳榮俊提到,企業人力資源有限的情況下,不一定要將所有技術掌握在自己手中,可是,「必須確定公司的發展方向,掌握核心的關鍵能力,再來決定資源投入的方式。」他進一步舉例,玉山建置SOC(資安監控中心)時,也曾考慮要自建或委外,之後選擇自建的原因是,考量到現今外在環境多變,以及駭客攻擊樣態層出不窮,只要將關鍵技術掌握在自己手中,面對事件的更新與處理,甚至是預防時,才能更快反應與更深入的研究。

此外,他也提醒,企業導入新的資安產品時,要檢視現有防禦設備是否功能重複,避免資源浪費。不過,他提醒,功能重複有時是必要的,才可以避免單一產品的缺陷,比如,VirusTotal就集合了超過50種防毒軟體引擎來進行惡意程式的判讀。

不過,如何確保所用的資安產品能持續有效運作?陳榮俊表示,最重要的是建立監控機制並定期檢視,像是近期勒索病毒猖獗,他提到,企業除了進行備份,還須確定備份是否成功,做好備份回存的驗證,這是定期檢視的重要性。「雖然做起來非常辛苦,但很有效。」他坦言。

此外,企業也可透過外部的能力來驗證自我防禦的破口,比如透過紅隊演練。陳榮俊提到,玉山在2018年成立資安管理處,原先是預計經過2年的打底,就要接受紅隊的挑戰,可是,因為去年疫情開始爆發,所以紅隊演練延至今年執行。

「資安無法保證100%沒有問題。」陳榮俊表示,企業在做了一切努力後,還可以透過風險轉嫁如投保資安險;不過,他也提到,投保資安險只能賠償實際發生的損失,對於企業商譽損失則無法賠償。他更強調:「除了資安事件是非人為疏失,否則一切結果都是資安長承擔。」

資安落實的5大成功關鍵

陳榮俊也以CALMS模型(Culture、Automation、Learn、Measurement、Sharing的縮寫),來說明資安落實的5大成功關鍵。

Culture代表風控文化的養成,他強調,資安絕不只是資安單位的事情,必須將資訊安全人人有責的觀念落實到全企業,重點是高階長官的支持,以及主管機關對金融機構在資安上的要求,都是企業建立重視資安文化的關鍵。

Automation則表示自動化機制的導入,陳榮俊提到,現在的情資與攻擊樣態實在太多,企業需管理的伺服器、端末設備、應用程式也是海量,光靠人工處理的話,在即時性上可能會來不及反應,許多細節也可能會有所忽略,造成潛藏性的資安風險。所以,必須導入自動化機制或工具,來處理整體的資安事件。

Learn對應到的是學習型組織的運作,「一個人可以走得快,但一群人可以走得遠」,他表示,企業可以透過團隊的力量,讓個人及組織能保持持續的學習增長,讓組織充滿創新與進步的動力。

另外,Measurement則代表評量指標的建立,他認為,企業訂定KPI時,一定要確立工作目標,KPI只是衡量工作目標是否達成的工具。玉山是將資安指標納入分行績效評量的一環,作法上也採取鼓勵方式,分行單位只要按時做完資安處要求的教育訓練,就可以拿到分數,此外,如果分行單位發現疑似社交工程或偽冒信件後,再進一步通報的話,還可以再加分。「先讓同仁了解資安稽核的要求,再逐步深化資安的深度與廣度。」

Sharing則是對應到分享觀念的培養,陳榮俊提到,對於金融業來說,資安是一項可以與同業互相交流,但是又不涉及商業機密泄露的問題。「金融業有共同的敵人,甚至,敵人還會互相合作,背後甚至還有國家的力量在支持,所以,更要聯合大家的力量共同對抗駭客。」

今年1月下旬開始,玉山已加入F-ISAC建置的二線F-SOC(金融資安聯防監控平臺),只要有符合F-SOC訂定的監控指標被觸發,玉山就會將相關資訊傳送到F-SOC平臺,透過協同運作,讓主管機關可以有效監控整體金融機構的資安風險。文⊙李靜宜