明年起,各大金融業參與F-ISAC(金融資安資訊分享與分析中心)得付費了。
依照金管會規劃,擬採「資產總額」為收費基準,分為9個級距,初估光一家金控、再加上旗下各子公司,一年年費將破百萬元。
官員說,若以一家金控買一個防毒軟體,一年都要上千萬元,這百萬元的年費其實不並貴,且經費全都是以資安聯防做出發點。
依金管會規劃,金控單獨個體、一年得付20萬元,而母金控旗下子公司,例如銀行、證券、壽險、產險、期貨、投信、投顧、票券等,均得再依資產總額高低,額外付費,初估一家有「銀、保、證」的金控集團,一年付給資安中心的年費至少100~150萬元左右,子公司愈多,得付的年費也愈多。
據初步草案,這9級的付費級距,除16家金控主體的年費一律20萬元外,總資產破兆元者,一年得再付60萬元,例如銀行端的第一銀、華南銀、國泰世華銀、中信銀等。
總資產介於5001億元~1兆元間、年費50萬元;1001~5000億元者、年費40萬元;701~1000億元、年費30萬元;301~700億元、年費20萬元;101~300億元、年費10萬元,例如一些投信顧者,6~100億元、年費8萬元,5億元以下只收5萬元。
相關官員說,有些保經代有做電子商務者,也需加入資安聯防中心做付費;至於其他如創投、AMC、管顧、租賃、甚至是海外轉投資公司都不需加入也免付費。
官員說,資安聯防中心收費後,將有兩大原則:
一是,專款專用:財金公司收費後,全部採專款專用,只用來資安聯防中心,並建立單獨會計制度管理這個經費
二是,將成立一個監督委員會(各公會派代表來組成監督委員會,10~15人委員會)監督資金用途,或是資安中心服務功能是否需要加強地方
該官員說,這兩年資安聯防中心發揮很強的聯防功能,例如近年的D-DOS攻擊和中油和台塑事件,聯防中心都會提供駭客攻擊方法、情資和防護機制給金融業,讓金融業做加強。
例如去年11月也組訓跨國駭客演練,平時該聯防中心也出週報和月報,包括國內外駭客攻擊趨勢、情資、及相關注意事項,提供給金融機構留意最近事件。
例如今年因為疫情關係,金融業有做居家辦公和異地備援,聯防中心也收集國外居家辦公、異地備援等需要注意防護事件提醒大家,發揮很重要的防護功能。
資安聯防中心也和國外有合作,如北韓駭客組織HIDDEN COBRA FASTCash攻擊活動。印度銀行ATM盜領及SWIFT盜轉事件。國內金融業遭DDoS攻擊事件。
金管會是在2017年12月建置F-ISAC(金融資安資訊分享與分析中心)蒐集國內外金融資安情資進行分析,提供金融資安情資預警及聯防功能,作為金融機構強化資安防護工作的參考。
F-ISAC 針對國內外重大資安事件均適時發布警訊,包括2019年底駭客DDoS攻擊事件、2020年5月國內重要企業遭勒索軟體攻擊事件等,提醒會員公司因應。
F-ISAC目前委由財金公司營運,初期經費由金管會申請行政院科技計畫預算挹注,計畫將於2020年底屆期。
為減輕國庫財政負擔,立法院審查金管會預算時,也決議金管會應提出F-ISAC收費規劃,因此金管會參考國際間做法,規劃從明(2021)年起,採取使用者付費原則,以「資產總額」為衡量基準,共分9級做收費級距。(廖珮君/台北報導)
