內賊外賊都要防 金管會力推「零信任」資安架構

金融業落實資安，除了防外賊也要防內賊。推動金融業全面執行「零信任」架構，已成為金管會的「金融資安行動方案二點○」的重頭戲。國銀業者透露，金管會與數位發展部已針對金控、銀行內部資安管理建立「零信任」架構，在四日舉行閉門會議，要求各銀行儘快建立「零信任」架構，強化防駭的同時也拉高內部防火牆的規格。

此外，金管會也將加強要求資安長的設置，觸角將從金控、銀行擴及其他子公司，尤其多家金控即使以銀行為獲利主力，其他如證券或人壽等子公司，規模及獲利總市占即使不高，但只要未來電子下單，或網路投保、線上核保等交易量超過一定比重，這些子公司也必須設資安長。

不具名的業界人士說，建置「零信任」架構得花不少成本，預料會以大型銀行先行。

金融圈人士指出，零信任若以銀行情境來看，就是銀行行員若要取得授信、財管等與客戶或業務本身相關機密資料，須透過個人指紋等生物辨識、職務等不同認證方式，一關一關的檢核。金融資訊部門主管指出，零信任架構除了防止內部人員不法取得資料，對駭客入侵也能發揮「減速」作用，「至少駭客入侵之後，透過內設的防火牆，不會一步到位的快速竊取所有資料」。