證交所辦券商資安會議
臺灣證券交易所21日舉辦「114年證券商資通安全會議」,證交所副總經理謝俊欽致詞指出,新興科技的發展與應用,不僅帶來新商機,但也伴隨著不可忽視的風險和挑戰,從個人乃至社會層面都將面臨威脅,因此,資通安全在未來將仍是政府施政的重點項目之一。
會議由謝俊欽揭開序幕,他在致詞中強調,資通安全在未來將仍是政府施政的重點,為此,證交所近年訂定四大方針推動證券商提升資通安全防護能力,包含:「提升資安技術、培育資安人才、精進資安法規、強化資安監理」。
謝俊欽指出,未來證交所透過此四大方針強化整體證券商資安管控程度及防禦弱點,提升證券商網路安全防護系統及資安人員專業能力,並加強證券商資安相關法規要求水準及查核輔導作業,共同建立證券市場的資安防護網。
最後,謝俊欽也期勉各證券同業,安全穩定的證券市場是維持金融體系正常運作的關鍵,因此,在數位化的網路時代一定要持續地重視資通安全,並共同努力加強合作,才能持續提升整體市場的資安韌性與資安量能。
為涵蓋證券商內部及外部的資安議題面向,此次會議共有三大主題,首先為「資通安全查核重點及缺失案例分享」,今年特別邀請證期局組長黃仲豪,從主管機關的角度與證券業者說明資通安全查核的重點,並分享近年證券商重大資安事件案例、查核缺失案例與相關強化措施說明。
黃仲豪提出的案例包含外部駭客攻擊、基礎設施服務商異常、程式效能與硬體規劃未完善、網路環境安全區隔與監控不足、系統主機弱點與帳號管理未妥適、遠端連線與權限管控不足等,使證券商能從已發生案例中相互學習,並將資安管控重點更加聚焦於高風險的部分。
第二項主題為「生成式AI對於資安的挑戰」,由安碁資訊總經理吳乙南介紹生成式AI的發展與趨勢,並對於企業應用生成式AI所可能帶來的風險,包含數據正確性、個資風險、侵權疑慮等進行相關說明。
另外,吳乙南亦透過案例分享生成式AI在模型訓練及提供服務等各階段可能遭遇的攻擊行為與後續影響,並提出相關的資安防禦強化重點,提供證券商在評估應用AI等新興科技以協助發展業務及提升服務效率的同時,兼顧足夠的安全及穩定。
最後,由台灣網路認證公司協理連子清分享第三項主題「金融零信任架構及金鑰演算法升級」,從全球資訊趨勢的角度,介紹AI科技於網路資安零信任架構的最新發展與兩者間的關係,並透過近年資安威脅的重點,說明零信任架構的核心概念、基本架構及導入策略。
連子清同時呼應金管會發布之「金融業導入零信任架構參考指引」,分享資安防禦實務中的六大高風險場域包含遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商及跨機構協作之常見情境。
另外,針對金鑰演算法安全的相關議題,連子清亦詳細分享如數位簽章、演算法、惡意攻擊及因應方案等。
證交所表示,此次會議旨在凝聚我國證券市場業者於資通安全防護的向心力,以資安「零容忍」為目標,使台灣資本市場穩健立足國際舞台。
證交所券輔部也在會議中宣導「證券商數位通路推廣創新板風險預告書簽署強化獎勵措施」,讓證券商充分瞭解,以達推動目標。
