研訓院看世界－拚全球FinTech與資安強國 以色列這樣做

工商時報【張凱君台灣金融研訓院金訓代理副所長】 以色列近年來在FinTech領域迅速崛起，不僅政府透過金融創新改革政策讓銀行體系更健全，甚至有專責的產業園區與緊急應變中心等機構，創新能量世人有目共睹，他們到底如何做到？值得大家一探。 就金融產業的發展經驗而言，以國政府透過金融創新改革政策，一方面讓銀行體系更加健全，同時加速推動金融科技，使以色列一躍而為FinTech強國的過程，頗值台灣借鏡學習。 有鑒於此，中華民國銀行公會與駐台北以色列經濟文化辦事處再次攜手合作，於5月下旬啟動「2019以色列金融科技及資安產業考察團」，安排國內產官高層遠赴以色列，與當地多家國際知名金融科技及資訊安全廠商深入交流，並透過實地參訪數位金融特色銀行，如Hapoalim Bank（以色列的主要銀行之一），及位於南以色列沙漠城市貝爾謝巴（Beer Sheva）的網路星火產業園區（CyberSpark）與網路緊急應變小組（CERT）等機構，冀能全面了解該國金融科技暨資安產業生態圈。 人才鼎盛，資安產值占全球逾1成 以色列的資安產業人才鼎盛，技術先進，產值占全球1成以上，孕育出不少國際級資安廠商。例如Check Point即是針對政府與企業提供網路安全解決方案的資訊安全設備供應及服務商，其次世代防火牆技術可將惡意軟體、勒索軟體與其他攻擊阻絕於機構外部為其產品特色，高攔截率為其主要目標。要達到這個目標並不容易，特別是隨著時間經過與技術演變，時至今日，資安攻擊已進化到第五代，其特性包括規模更大（跨國與跨產業），國家資助的高價值科技、毀滅性攻擊、與攻擊面向更為多樣（網路、終端設備、雲端、移動裝置）。換句話說，當員工連上公司網路或遠端設備、使用雲端應用或利用智慧型手機處理公司資金時，都有遭受駭客攻擊的可能，手段包括電子郵件、網頁與惡意應用程式等。只具備偵測功能的資安技術，恐無法有效面對第五代網路威脅；相應的第五代資安技術必備的核心能力，則包括即時威脅防禦、威脅情資共享與全方位安全防護。 Radware是全球領先的虛擬數據中心、雲端應用交付與網路安全解決方案供應商，DDoS（Distributed Denial-of-Service，分散式阻斷服務）的偵測及防護為其最著名的產品及服務。針對現在越來越普及的雲端服務應如何防護DDoS攻擊，該公司專家表示可從三方面著手：第一、與機構本身業務流程結合；第二，確保於攻擊中仍可提供服務；第三，與機構本身資安系統進行整合。 Radware的現任執行長Roy Zisapel在簡報中分享了自身經歷，他在以色列軍方服役超過5年，累積相當的技術、經驗與人脈後，與幾個志同道合的朋友共同創辦了這間公司，從最初員工不到10人，成長到現在全球40多個國家設有辦事處的規模。 CyberArk是第一家2014年在美國NASDAQ上市的以色列資訊安全公司，注重化解有針對性的網路攻擊威脅（即以企業核心為攻擊目標），致力於在造成業務中斷之前阻止攻擊，保護企業最具價值的資產，目前客戶遍布90國，超過500家公司。「特權帳號管理」（Privileged Account Management）是該公司最著名的資安解決方案之一，針對駭客獲取特權帳號以竊取資料，攻擊企業重要營運系統的資安威脅。無獨有偶，CyberArk的創辦人中亦不乏出身軍旅者，且是來自以色列傳奇情報單位「8200」部隊，可見以色列的國防工業已相當程度融入民間科技業。 產學合作、設立產業園區，專攻資安專利 要談以色列的資安產業，可不能忽略位於以色列南境的大城貝爾謝巴，這是近年以色列發展資訊安全的樞紐之地，「網路緊急應變小組」（Computer Emergency Response Team, CERT）藏身其中，「網路星火產業園區」（CyberSpark）亦座落於此。 CERT是由政府成立的資安聯防中心，係一非營利組織，組織成員來自不同產業機構。CERT負責資訊安全防護和網路事件處理，提供資安事件通報與訊息分享平台，讓業者可經由彼此間的資訊交換，即時掌握重要資安事件並妥為因應。資訊平台若要發揮功能，信任與分享是必要元素，因此，CERT必須確保會員機構不會因揭露資訊而承擔法律責任。CERT的功能還包括掌握產業總體資安風險最新動態，協助機構評估資安風控措施的可行性（Viability）以及協助評估資安風險的持續性（Continuity）對企業營運所帶來的潛在衝擊。