財經中心/綜合報導
臺灣證券交易所日前舉辦「114年證券商資通安全會議」。本場會議除邀請證券期貨局主管人員蒞臨,並有中華民國證券櫃檯買賣中心及中華民國證券商業同業公會等周邊單位亦指派多名代表與會外,另有120餘位證券業資安高階管理人員,會議圓滿成功,議題涵蓋面向多元,廣獲與會嘉賓好評。
此次會議由臺灣證券交易所謝俊欽副總經理揭開序幕,致詞中除感謝各證券業者一直以來為證券交易市場安全及穩定所共同付出的努力,也提及新興科技的發展與應用不僅帶來了新的商機,同時也伴隨著不可忽視的風險和挑戰,從個人乃至社會層面都將面臨威脅,因此,資通安全在未來將仍是政府施政的重點項目之一。為此,臺灣證券交易所近年訂定四大方針推動證券商提升資通安全防護能力,包含:「提升資安技術、培育資安人才、精進資安法規、強化資安監理」。
透過此四大方針強化整體證券商資安管控程度及防禦弱點,提升證券商網路安全防護系統及資安人員專業能力,並加強證券商資安相關法規要求水準及查核輔導作業,共同建立證券市場的資安防護網。最後,謝副總經理也期勉各證券同業,安全穩定的證券市場是維持金融體系正常運作的關鍵,因此在數位化的網路時代一定要持續地重視資通安全,並共同努力加強合作,才能持續提升整體市場的資安韌性與資安量能。
為涵蓋證券商內部及外部的資安議題面向,本次會議共有三大主題,首先為「資通安全查核重點及缺失案例分享」,本年特別邀請證券期貨局黃仲豪組長,從主管機關的角度與證券業者說明資通安全查核之重點,並分享近年證券商重大資安事件案例、查核缺失案例與相關強化措施說明,案例包含外部駭客攻擊、基礎設施服務商異常、程式效能與硬體規劃未完善、網路環境安全區隔與監控不足、系統主機弱點與帳號管理未妥適、遠端連線與權限管控不足等,使證券商能從同業已發生案例中相互學習,並將資安管控重點更加聚焦於高風險的部分。
第二項主題為「生成式AI對於資安的挑戰」,由安碁資訊股份有限公司吳乙南總經理介紹生成式AI的發展與趨勢,及目前生成式AI的優勢與常見的應用場域,並對於企業應用生成式AI所可能帶來的風險,包含數據正確性、個資風險、侵權疑慮等進行相關說明。另外,亦透過案例分享生成式AI在模型訓練及提供服務等各階段可能遭遇的攻擊行為與後續影響,並提出相關的資安防禦強化重點,提供證券商在評估應用AI等新興科技以協助發展業務及提升服務效率的同時,亦能兼顧足夠的安全及穩定。
最後,由台灣網路認證公司連子清協理分享第三項主題「金融零信任架構及金鑰演算法升級」,從全球資訊趨勢的角度,介紹AI科技於網路資安零信任架構的最新發展與兩者間的關係,並透過近年資安威脅的重點,說明零信任架構的核心概念、基本架構及導入策略,同時呼應金管會發布之「金融業導入零信任架構參考指引」,分享資安防禦實務中的六大高風險場域包含遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商及跨機構協作之常見情境。
另外,針對金鑰演算法安全之相關議題亦詳細分享了如數位簽章、演算法、惡意攻擊及因應方案等,提供證券業者規劃近年重要資安強化工作時具體之方向與參考。此次會議旨在凝聚我國證券市場業者於資通安全防護的向心力,以資安「零容忍」為目標,為建立整體市場的發展及數位化提供強而有力的基礎,並使證券業者能在新興科技不斷發展並逐漸普及於實務應用時,亦能持續提升資安防護力以面對不斷變化的現代網路環境所帶來的資安風險與威脅,使台灣資本市場穩健立足國際舞台。
會議中宣導「證券商數位通路推廣創新板風險預告書簽署強化獎勵措施」,讓證券商充分瞭解本公司推動措施,以達本公司推動目標。
