2023年永續金融執行淨零碳排和資安防駭將成爲重頭戲
Google Cloud臺灣技術副總林書平則強調,在2023年的「數位信任」執行對資安強化的重要性,應重新建立起「零信任」架構;對此林書平分析,駭客透過各種社交工程,騙取員工的密碼然後登錄到內部系統,儘管一開始只能得到普通員工的權限 但接下來因爲內網的防火牆不夠、權限控管沒作好、資料分級沒有落實等疏漏,因此讓駭客輕易攻破,成功取得機密資料。
觀察國際對淨零碳排評比的趨勢,楊荊蓀對最新觀察結果分析,金融業已從國際中被要求在營運活動中不僅要參與減碳的要求:「而且要對碳排大戶有更進一步的作爲。」今年各評比來看,例如道瓊永續指數的新增題組全都跟淨零碳排相關,他預期在相關評比中:「明年脫碳議題會過半!」同樣的CDP題組相關碳排的題目將增加逾一倍,SBT明年也會有跟淨零有關的更多題組。
楊荊蓀也進而指出,明年除了範疇一及二仍是重點:「另一重點在於金融業將自明年提前起跑範疇三。」同時國發會已有明確宣示,2027年全體上市櫃公司要作碳足跡盤查,2029年要出驗證報表,都將成爲接下來要努力的重點課題。
楊荊蓀觀察,疫情這三年來,因爲使用網路比例更高,因此資安防駭問題也更多,他認爲明年在氣候財務風險管理和資安的強化,將是ESG執行面要努力的兩大重點。
蒲樹盛則表示,在淨零碳排、永續環境的相關財務影響揭露上,GRI,SASB,TCFD是三個揭露基本款。他進而指出,2027年1750家上市公司都要完成溫氣盤查併入財報範圍,但接下來若碳排量不準確,併入財報是否算財報不實,是否用證交法?目前金管會正在思考該課題,因爲涉及會計師簽證財報,若碳足跡不正確是否算財報不實?這個問題很大。
他也提示,明年查出「漂綠」的業者,也成爲重頭戲;他也進而提示臺灣金融業者明年可在永續金融服務着力的面向指出,水災,旱災,野火,饑荒是明年全球的四大災難,而臺灣則可在太陽能,與農漁業有關的小水力發電的發電契機,找到更多永續金融潛在的投融資機會,來協植這些潛在廠商,據他所知不少創投已對此很有興趣。
蒲樹盛也進而指出,薪酬與永續績效有無聯結?這將是未來評比永續金融的重要項目,他觀察目前全臺上櫃公司,只有7%把永續績效和董監酬榮掛勾,其他很低,這一塊未來會更被重視,他並指出,接下來也會把ESG的「執行風險」納入評比,例如,是否有把風險管理納入治理文化?是否有作風險胃納與壓力測試?而所謂ESG風險有哪些?他舉例,例如僱用幼童工,不給保勞健保,不給加班費、竄改數據,報告揭露不實,這些都是,另外,職場上的性別評等,舉凡男女薪酬及職缺比較,都是基本款。
蒲樹盛也預期,包括董事會的架構也會再進化,除了現行主管機關規定薪酬及審計委員會之外,國際上已希望再有「風險委員會」,把ESG和其他風險全部一起納入,否則現在只放給審計員會檢視,並不完整且負擔很大。
蒲樹盛也強調,ESG的評比報告書不應該長的一模一樣:「因爲各別公司策略會有不同!」組織的強度和韌性都需要同步檢視,不見得強,例如防疫險在金融界導致極大衝擊,就是一例;他並強調明年「數位信任」的建立也非常重要,並引數據指出,金管會統計去年56億筆詐騙簡訊,平均1人收245通,3天收到2通,將來這挑戰越來越大。
林書平則表示,現在駭客的目的和十幾年前相較,出現極大變化,十幾年前,駭客是要證明其技術強,並未有財務及報酬的目的,但這幾年,已轉爲財務報酬的動機,駭客進行資產綁架,拿到資料加密,被害人付贖金,才能解密拿回資產;不過林書平也表示,在駭客成功竊取資料之前,仍有很多徵兆仍能作防備,他直言:「每一起事件背後至少有9.8次事件發生,有32.2次先兆,600起事故隱患。」
林書平進而以美國所查出駭客攻擊15個漏洞的分類指出現行「零信任」的弱點和軟體供應鏈的安全問題,強調identity的重要性,包括使用者自己,device,不同的service都要有不同的identity,code的identity都非常重要,並指出在「零信任」的安全模式之下,有三大重要的安全原則,包括:1、在內外網都要有很嚴格的限制;2 強化帳戶安全並實施裝置政策;3、傳輸加密並強制實施權限檢查。
林書平也強調,美國NIST提供零信任的零信任架構之下,已指出不能透過傳統方式去信任內網,而且現在第三方軟體問題很多,透過開放軟體而產生攻擊事件,每年成長650%,但很多商用軟體套件也具有弱點,有84%因爲用開放軟體的資安事件成長率。