中央社
(中央社記者蘇思云台北30日電)金管會今天公布金融資安韌性發展藍圖,預計2026年起為期4年分階段推動。因應新興科技演進,傳統身分驗證、網路交易等加密安全可能受到量子電腦威脅,金管會規劃明年上半年發布金融業後量子密碼學(PQC)遷移參考指引,並持續調整更新內容。
金管會2022年12月發布「金融資安行動方案2.0」,即將在今年底到期,金管會今天發布接續方案「金融資安韌性發展藍圖」,明年起為期4年分階段推動,每季檢討成果。
金融資安韌性發展藍圖是以目標治理、全域防護、生態聯防、堅實韌性為4軸架構,金管會資訊服務處處長林裕泰說明,重點包括強化經營階層資安治理職能與問責機制,加強資安人才培育與交流,推動零信任架構,強化資安監控及防護有效性,因應新興科技進行前瞻部署,加強資安情資分析與協同防禦,辦理資安攻防演訓,以及強化多層次備援機制等。
金管會去年7月發布「金融業導入零信任架構參考指引」,林裕泰指出,金融業持續規劃導入,希望透過指引進程,逐步導入,2026年陸續針對業者比較有成果的項目,建立導入共識後、納入基礎規範,將來希望達到整個金融業可以普遍實施零信任的基礎。
此外,為了因應新興科技挑戰,也規劃進行前瞻部署,林裕泰指出,考量AI發展非常快速,國際資安組織也針對生成式AI或大型語言模型發布一些常被攻擊的弱點資訊,希望明年召集金融業,研訂金融業AI系統安全防護及檢測參考指引。
此外,傳統密碼面臨量子電腦威脅,具強大運算力的量子電腦問世後,傳統密碼後端的加密機制就會被破解。數發部今年4月發布台灣首版「後量子密碼遷移指引」,建議企業提早盤點系統與產品,進行密碼遷移,避免機密資料遭破解、身分遭盜用等風險。
林裕泰說明,數發部版本比較是共通性原則,希望可以有更貼近金融業的指引版本。
林裕泰解釋,量子電腦已證實對「非對稱式加密技術」構成嚴重威脅,可能影響網路交易、電子簽章及身分驗證等加密安全,今年7月已找部分金融機構籌組先導小組凝聚共識,進行密碼學技術盤點,後續也需進行風險評估,預計明年上半年發布金融業後量子密碼學遷移參考指引,但不會是最終版本,仍會持續滾動更新,未來將觀察後量子密碼商品化時程,再訂出實際遷移啟動時間。
金管會也規劃辦理資安攻防演訓,強化資安事件因應能量。林裕泰表示,持續辦理DDoS(分散式阻斷服務)與網路攻防演練,明年希望除了點名與自願參加單位之外,擴大金融業參與,透過演練也增加業者技能培訓。(編輯:楊蘭軒)1141230
新聞來源:中央社
讀者迴響