解密OCCIP 聚焦關鍵基礎設施聯防

臺灣銀行家第164期:臺美合作 金融資安更罩(臺灣金融研訓院)

OCCIP就如同情資單位,主要是與金融部門公司、行業團體和政府合作伙伴保持密切合作,共享有關網路安全、實質威脅和漏洞資訊,鼓勵使用符合資訊安全標準及最佳化措施,發生重大事件時,做出迴應及恢復正常運作。

臺美雙方首次在金融資安議題上進行公開性合作,最受矚目的「焦點」,就是來自美國財政部(U.S. Department of the Treasury)的網路安全和關鍵基礎設施保護辦公室(Office of Cybersecurity and Critical Infrastructure Protection, OCCIP),然而這個神秘的單位究竟在資安議題上扮演哪些角色?

根據調查,在美國財政部官網上的組織架構圖中,並未看到網路安全和關鍵基礎設施保護辦公室(OCCIP)的名稱,僅找到一段簡要的介紹文字,「OCCIP協助美國財政部相關部門的工作,以加強金融服務部門關鍵基礎設施的安全性和彈性,並降低運營風險。」

其實OCCIP就如同是一個情資單位,因此本身非常低調、曝光極少,他們主要是與金融部門公司、行業團體和政府夥伴保持密切合作,共享有關網路安全、實質威脅和漏洞的相關資訊,鼓勵使用符合資訊安全標準及最佳化措施,並在發生重大事件時,做出迴應及恢復正常運作。

這次來臺灣參加論壇專題演講的OCCIP網路情報、風險分析和韌性部門主管薩蒙瑞伊(George Salmoiraghi),在專題演講「國家金融穩定與強化金融韌性-美國對於重大事件與金融穩定之策略、實務」中,概略提到近20多年間,美國政府如何將「關鍵基礎建設防護」列爲施政的核心與重點,特別是在2001年「911恐怖攻擊事件」之後,陸續發佈行政命令、基本策略跟國土安全總統令等。

薩蒙瑞伊指出,如何有效地整合關鍵基礎建設與重要資源,並有效地運用聯邦經費及資源,保護關鍵基礎建設免於恐怖攻擊,美國國土安全部也修訂相關的計劃,強調「安全與韌性」作爲推動國家關鍵基礎設施的防護目標。而OCCIP的責任在於協調各單位,重點在於推動國防要素、驅動所有面向,確保基礎設施安全的可用性和安全性,並進行弱點評估,布建資訊分享和跨部會協調。

薩蒙瑞伊提醒,情報分享十分重要,必須有一個團隊負責持續交流,即便在疫情爆發期間,也能運用科技讓其他單位參與,目前團隊有1,200名參與者,針對金融業等相關單位提出建議,同時,找出威脅跟弱點進行演練,風險管理跟減緩風險是現階段的兩大重點,如何設計更有效的演練,檢視金融機構跟設施之間的相互操作性。

由於美國總統拜登上臺後,政府重要部門陸續遭到重大網路攻擊,薩蒙瑞伊也提到,拜登於2021年5月簽署發佈,要求改善國家網路安全並保護聯邦政府網路,同時,提醒民衆政府單位和民間企業發生的資安事件,若只靠聯邦政府的行動並不足,尤其美國多數關鍵基礎設施由民間企業所擁有,所以,需要鼓勵民間企業採取較積極的措施來調整網路安全投資。

因此,OCCIP最近不斷跟民間企業合作,要採取哪些更好的方式檢視風險,金融也是一個關鍵基礎設施,透過舉行工作坊、相關地圖檢視金融單位不同的流程間如何連結,連帶造成何種效應,藉此設計更有效的演練,來檢視金融機構跟設施之間的相互操作性。

由於烏俄戰爭持續一年多,雙邊的網路攻防也成爲外界關注議題。薩蒙瑞伊表示,OCCIP多年來跟許多政府機構,包括各國央行、銀行等合作,提升資訊安全和韌性,美國政府也會即時提供金融機構跟基礎建設等相關資訊交換與交流,畢竟祭出技術制裁之後,是否會對國內基礎建設產生影響,也需要密切關注。

在專題演講結束後,薩蒙瑞伊也與國內的金融機構業者互動,近年來與金融業相關的資安事件及謠言甚囂塵上,有業者問及,如何研擬推動相關政策並進一步強化金融穩定度?

薩蒙瑞伊建議,要能辨識潛在風險,其實謠言攻擊並未如此有效,可以跟更多合作伙伴分享資訊,來防範有敵意國家或有心人士的攻擊;另在受到衝擊時,OCCIP會匿名與相關單位合作,分享目前狀態,提升到全國層級的因應機制,甚至是跨國合作。 (全文請見8月號臺灣銀行家)