【臺灣資安大會直擊】莊琇媛：金融資安治理、防護與韌性演練都必須持續升級

在臺灣資安大會金融資安論壇中，金管會副主委莊琇媛開場時也特別強調了AI對資安的影響，「這對資安產業帶來很大的挑戰，攻擊者可以用AI發動攻擊，企業同樣也可以用AI來防禦。」

因此，金管會在去年底發布了金融資安韌性發展藍圖政策，莊琇媛特別提醒三件事，來因應越來越嚴峻的資安挑戰，「資安治理必須持續升級，防護能力也必須升級，韌性更一定要能演練和驗證。」

莊琇媛解釋，過去，多依靠自律規範視為基本資安門檻的做法，已經不夠。因此，金管會在今年四月時，招集了資安措施表現較成熟的金融機構分享經驗，希望能建立典範產生知識移轉，讓其他金融機構帶回組織內部，進一步內化，發展出適合自己的治理架構。

在AI帶來的資安威脅下，莊琇媛指出，現在的資安防護不能只停留在單點防禦，而要走向全域防護與供應鏈聯防，尤其，供應鏈資安管理已經成為非常重要的課題，將資安防護的責任，從單一金融機構，擴展到整個生態系。

最讓莊琇媛感觸的則是第三點，韌性要能夠演練、驗證。金融機構雖然有備援機制，但這些備援機制經常是「備而不用」，「真正發生重大事件時，往往不敢切換，因為無法確認實際效果。」

莊琇媛希望，關鍵時刻，核心金融服務發生問題，需要切換到備援系統時，大家能夠有信心地啟用備援，並快速恢復服務。「這種信心，只能透過不斷演練與驗證來建立，持續測試整體韌性的有效性。」

「韌性並不是保證永遠不會遭受攻擊，這是不可能的。真正重要的是，當攻擊發生時，我們能否快速因應、盡速恢復。」莊琇媛表示。