台湾金融资安新里程碑：台新银行成台湾首家以银行名义加入FIRST的业者

在全球网路威胁日益严峻、攻击手法不断翻新的今日，资安联防已从「选择」走向「必要」。在法规遵循与资安事件频传的双重驱动下，台湾金融业正积极强化资安防护能力。其中，台新银行于 2024 年 11 月下旬正式宣布加入国际资安事件应变小组论坛（Forum of Incident Response and Security Teams，FIRST），成为台湾首家、也是迄今唯一一家，加入此一全球最大资安事件应变与协作组织的银行业者。这不仅为台湾金融资安联防树立了全新的里程碑，更展现台新银行致力提供客户更安全、便捷且可信任的数位金融服务的坚定决心。

实际上，不少国际银行已经直接以银行或金融机构的CSIRT（Computer Security Incident Response Team，资安事件应变团队）团队身分，成为FIRST（国际资安事件应变小组论坛）的会员，成员构成多元，涵盖全球顶尖金融机构。

大家耳熟能详的银行业者，包括：美国银行（Bank of America）、新加坡星展银行（DBS Bank）及欧洲中央银行（European Central Bank）等，都是直接以银行的CSIRT名义，加入FIRST国际资安组织。

台新银行也加入台湾金融业者自发组成的F-ISAC（金融业资安情资共享与分析中心），台新银行资安长陈诘昌表示，选择另外以台新银行TSB-CSIRT的名义加入FIRST，除了代表该银行的资安事件应变能力获得国际承认，该公司也成为全球资安信任与情报共享网路的一份子，他认为，台新银行加入FIRST的作为，除了具有战略价值外，也同时面临组织与资源上的挑战。

可以肯定的是，FIRST强调合作快速应变，同时促进资安事件预防及成员间情资共享协作，台新银行CSIRT团队从无到有，从纸上组织到实战应变的发展历程，以及加入FIRST后所面临的挑战，都将对未来台湾金融资安生态带来新的挑战。

从合规到实战，台新银行CSIRT的转型之路

台新银行的资安事件应变团队（CSIRT，也称IR Team）的成立并非一蹴可几，陈诘昌指出，该团队约在2020年9月左右，已具备形式上的组织架构，但真正开始发挥功能，是在他上任之后。「在此之前，团队可能更偏向『形式上面』的存在，直到后来才比较有在演练和培养人才。」他说。

台新银行资讯安全部资深协理刘俊良补充说明，CSIRT团队成立的初衷，是受到业界震撼的一银和远银等资安事件启发。尽管这些事件发生已久，但金融单位陆续仍有各种资安事件，因此，刘俊良表示，成立CSIRT的核心思考点在于：「如果台新银行也发生同样的资安事件时，我们是不是有这个能量跟资源去处理这件事件？」。

CSIRT团队在成立初期，台新银行采取自行摸索的方式，去打造属于自家的CSIRT，当然也参考其他金融单位的组织和内容。刘俊良解释，当时CSIRT团队的性质是一个虚拟组织（Virtual Team），其成员组成是「跨部门」组成的。

陈诘昌进一步指出，除了主要的IT和资安部门成员外，还有其他部门的人参与这个跨部门的虚拟组织，例如公关、保险、总务，以及风管、法务和稽核等。

他特别强调，团队的实际成员数量和涵盖范围，其实会依据「资安事件本身的性质和发展重要性来决定」。例如，如果事件不涉及外部单位或客户，公关部门可能就不需要「启动」，但可能需要被通知。

从纸上组织到实际维运，提供资源和角色厘清

陈诘昌指出，台新银行CSIRT团队的成立，从原本的纸上组织──只有组织规章，到后来实际运作──还提供工具，这是个逐渐成熟的演变过程，有赖公司愿意提供足够的资源，也让同仁可以在过程中摸索并厘清角色。

台新银行对CSIRT团队的投入，体现在多个面向。陈诘昌提到，首先是文件的检视，第一步就是：规章要出来，这样同仁才知道「哪些时候他要做些什么事情」。

其次是「组织」，发生资安事件时，「谁要当责」，也就是谁是负责这个事件后续处理的中心负责人，「这个组织架构要出来。」他说。

「公司最重要的资源投入之一，就是人员的教育训练」，他强调，台新银行其实安排了许多「蓝队」的教育训练，并邀请许多外部专家，为包括所有子公司在内的同仁进行教育训练，教导他们一旦遇到资安事件时，「第一时间要做什么、该做什么，有什么工具可以提供协助」。

陈诘昌特别强调「第一线处理人员」的角色定位。他指出，银行或外部顾问常倾向于「聚焦在数位鉴识」，这不是说不该做，但是，他认为，「数位鉴识不是内部资安团队的第一要务」。

他进一步解释，第一线人员应该聚焦于第一时间的应变，例如，重要证据的搜集，因为，有证据你才能够去把事件做重建；而事件重建的目的，就是要找出资安事件发生的根因，然后能够彻底的解决。

在处理资安事件时，判断事态是否严重到可能进入司法程序「很重要」，他表示，如果要上到法庭，那么「证据保全就必须优先」；然而，绝大多数的资安事件，它不见得是一定要进到司法程序，这时候可能会以「维运优先」，也就是「让客户的服务权益不受影响」作为优先选择。

陈诘昌坦言，这个部分很依赖经验，资安事件应变（IR），其实很仰赖现场处理的资安鉴识专家的经验，才能够判断到底要怎么样下决策，到底要往哪一条路走是对公司最好。

他也观察到，多数公司内部资安同仁处理资安事件的经验不够多，或是事前训练和准备不足，导致同仁在遇到资安事件时「可能会慌」甚至「下错判断」。为了解决这个问题，陈诘昌强调「要给工具」。他表示，公司应该给第一线同仁「可以无脑的、直觉式使用的脚本工具（Script）」；执行脚本程式后，就可以先帮公司初步收集重要的证据（Evidence）；至于更困难的深入分析，则可交由专业资安专家协助。

从建立韧性思维，看CSIRT团队应变能力的迭代进化

在建立和运作CSIRT团队的过程中，台新银行确实遇到了不少挑战。陈诘昌表示，首先是「观念的不一致」，因为大家对于资安事件应变（IR）的认知不同，即使成立了团队，对于团队「到底要做什么」、「团队成员的角色」、「要做哪一些事情」，以及这个团队「希望为公司带来什么样的效益」，可能存在认知的落差；尤其是，资安投资效益难以量化，高层不清楚为什么要做这件事，是另一大挑战。

陈诘昌观察到，过去大家长期以来都把重点摆在前端，也就是「不要让骇客进来」；然而，现在的趋势显示，要阻挡骇客入侵，已经变成「不太容易达成的事情」。因为，攻守双方是处于不对称的状态，骇客「只要找到一个弱点，就可以进攻企业组织内部」。

他表示，台新银行每年都做红队演练，从近几年的演练结果也发现一些原本没有注意到的弱点。这代表：台新银行其实有很多潜在的弱点还没有被发现。因此，台新银行必须调整思维，将重点转向「一旦资安事件发生的时候，怎么做到减轻损害，怎么做到保持韧性（Resilience）」。

陈诘昌对「韧性」有独特看法。他认为，韧性不是单纯的维运持续，而是要假设「今天公司遇到一个没有事先设想到的状况时，该如何维持营运？」最常见的就是各种资安事件，这些往往出乎意料之外、没有应变计划的，在这种状况下，陈诘昌会要求公司资安同仁去思考：「如何做最即时的判断，才能达到将公司损害降到最小的处置作为」。

最大挑战不在合规，而在让CSIRT活过来

陈诘昌表示，CSIRT成立到实际运作的过程中，最大的挑战是「怎么把原本的纸上组织，变成实际可以维运和执行的活生生的组织」。台新银行资讯安全部资深协理刘俊良则提到，金融业有时过于「合规」导向，虽然「你有手、有脚」（组织和文件规章），但「原则上不能动」。

台新银行资讯安全部协理林世杰则补充，技术层面遇到的挑战包括「人力、设备和经费」上的差距。陈诘昌坦言，他刚上任时，第一次参加银行红队演练后，就明显感受到冲击，当时CSIRT团队刚成立不久，同仁们还不太熟悉运作，不清楚各自角色定位，单靠成立组织和上课，「能量是不太足够的」。

「讲一百遍，不如自己遇到一遍」，有时候真的要亲身体会过一次，才会知道那个痛，陈诘昌说道。他也强调，但这个「痛」，不能对个人或公司造成致命性影响才行。

为此，陈诘昌提出了更多元的演练想法。例如，演练时加入外部单位如调查局，或结合BAS（攻击模拟系统，俗称数位靶场）来「验测台新银行资安设备的有效性」。

他认为，台新银行透过不断完善演练场景和情境，让CSIRT团队的「雏形」日渐成熟，「透过各种资源投入，慢慢的增量、慢慢的迭代，CSIRT团队就可以做得越来越好。」他说。

台新银行成为台湾第一家加入FIRST的银行业者，为国际联防奠基

陈诘昌表示，决定让台新银行CSIRT团队申请加入FIRST，并非是一时兴起。他观察FIRST已久，早在公部门服务时就注意到该组织。来到台新银行后，他观察到台湾陆续有越来越多的各类型企业加入FIRST，他认为，这可能受到外部环境因素影响，例如，现在的资安事件越来越多，每个人都没办法置身事外，必须要透过「联防」来巩固资安。

陈诘昌解释，该公司基于三大核心效益，选择申请加入FISRT国际资安组织，包括：扩大联防、人才培育与品牌提升

台新银行选择加入FIRST的第一个原因就是：希望扩大联防的范围。陈诘昌强调，台新银行已加入由国内金融业者联合组成的F-ISAC（金融资安资讯分享与分析中心），F-ISAC也是FIRST国际资安组织的成员之一，但台新银行选择以TSB-CSIRT（台新银行CSIRT团队）的身分加入FIRST之后，目的就是希望则能够借此接触更广泛的国际资安情资。

「第二个主要原因是，期待同仁能多多参与国际组织」。陈诘昌回忆，过去在公部门有较多机会参与国际资安会议，如Black Hat、DEFCON或RSA等国际行的资安会议，但来到台新银行后，则发现同仁很少参与国际会议。他认为，加入FIRST之后，至少有一个正式名目，借由他们每年固定举办的年度会议，编列相关的预算，鼓励同仁参加国际会议，让同仁们「多去看看人家到底怎么做、多交流」，了解其他参与会员因应资安的思维或趋势发展等，可以趁机更新一下脑袋。

「第三个效益是提升品牌形象（branding）」，陈诘昌提到，台新银行加入FIRST的新闻公开后，引起广泛关注，不仅国内，可能国外也注意到「原来台湾还有一家台新银行」。

他表示，这对公司的商誉是正面的效果，同时也是品牌展现，可以帮助台新银行「打一个免费的广告」。他指出，资安也是现在ESG（环境、社会、公司治理）考量中的重要项目，ESG的一个共通关键点就是：「如何在事件发生后，能够马上复原，然后防止下次再发生类似的事情」。

陈诘昌认为，虽然ESG听起来都是无形且难以具体量化的事情，但对于公司高层来讲，这些都是有价值的事情。他强调，台新银行透过通过ISO 27701、加入FIRST 资安国际组织等亮点，可以让客户知道台新银行做了些什么，间接提升客户对公司的信心。

爆量情资带来的量变与质变，成为主动思考有愿景的资安专家

提及加入FIRST的过程，陈诘昌表示，一开始是由该公司资讯安全部副理叶雅妘于去年初进行相关调查，并寻求了外部协助，例如找了勤业众信（Deloitte）协助辅导加入程序。

他认为，这个加入FIRST的过程，就是透过公正第三方来，帮忙台新银行检视内部资安成熟度达到什么样的水准，并提供哪边可以再修正的建议，这对台新来说是「好事」。

加入FIRST后，最直接的「量变」就是「情资变多」了。陈诘昌笑说，每天跟情资有关的E-mail，收都收不完，但这是「应该早就预期到」的结果。

因应情资的「量变」，台新银行也必须要有后续作为。他提到，台新银行于2024 年开始导入SOAR（资安自动化应变）系统，目的就是希望将各种外部情资，做到能自动汇入情资分析系统；此外，ISO 27001改版后有个「危险情资」项目，刚好可以与此结合。

陈诘昌认为，接收到资安情资时，他延续以往当警察时的习惯，会「把每一个情资都视为是一个被害者」，也鼓励同仁在处理这些情资的过程中，能够多去看看、多了解情资可能是什么状况。

他认为，当资安同仁真的可以看懂这些情资所代表的意义时，就会「慢慢变得有感」，因为「你如果没真的去看情资，对情资的变化，其实是没感觉的」，就不会知道，原来情资的数量这么多，其中，还有一些情资分享的内容中，会揭露一些「手法」或是「IOC（Indicators of Compromise）」等多元状况。

至于海量情资对台新银行带来的「质变」和「效益」，陈诘昌坦言，当时，加入台新银行才一个多月，还没有马上感受到巨大改变。但他希望，透过鼓励资安同仁处理大量情资和整理这些情资的过程，有助于协助他们改善日常资安维运的流程，对于未来要进行的硬体或系统的投资，能有「更清晰的判断」。

陈诘昌最大的期待是，不要每次都是长官要求资安同仁做什么，他希望有一天资安同仁可以主动向他提报想做什么。例如，同仁可以从综合情资中发现：近期在端点设备（Endpoint）的风险更高一点，进而回过头来，主动向长官建议资安部门最近应该投注心力，放在端点设备的防护上面。

他认为，资安同仁如果可以更主动讨论这些事情，如「资安部门应该要做什么」、「明年要做什么、后年要做什么」、「为什么要这样子做等等」，就代表他们已经开始有自己的思考，有想法也有能力，然后知道自己在做什么。

陈诘昌用「三个泥瓦匠」的故事，比喻他对资安同仁的期待。这三个泥瓦匠对于他们的工作描绘，一个自认为只是在砌墙，一个说自己在做城堡，但还有一个表示自己在盖一座城市。因此，他期待台新银行的资安同仁们，未来都是有能力盖城市的泥瓦匠，未来都是资安领域的专家。

在效益方面，除了对公司有信誉上的提升外，陈诘昌也回头去看，「为了加入 FIRST这件事情，台新银行做了什么」，以及这件事情为同仁带来什么效益。

他再次强调，数位鉴识与第一时间应变（IR）角色和本质是不一样的。他曾对五百多位子公司同仁进行线上授课时强调，「数位鉴识不是资安部门的首要任务」，更重要的是，「面对资安事件发生时，第一线的资安部门同仁，在第一时间应该如何应变？」

例如，要判断是否是真的资安事件，之后应该如何应变，最立即的判断就是：是否需要断网，是否必须要搜集证据准备上法庭，或是要做其他什么动作因应等。「上述这些，才是第一线同仁所应该思考的工作内容。」陈诘昌说道。

他认为，就像红队有自己的工具一样，台新银行也应该有专属自家资安部门使用的工具，关键在于：这是一个符合台新银行内部环境的紧急救援工具。陈诘昌认为，有了工具之后，第一线同仁在资安事件发生时，才能「知道怎么应变」。

导入CDM量化资安效益，资安人才培育：从「保护公司」到「保护个人」

尽管资安投资的重要性无庸置疑，但其效益衡量一直是个难题。陈诘昌资安长坦言，资安的投资和绩效「还是很难具体衡量」。然而，他坚信，「你不做，就是零；你做了，分数就会慢慢提升」。

为了更有效地衡量资安投资效益，台新正在尝试导入「Cyber Defense Matrix（CDM）」的概念。台新银行资安部副理叶雅妘解释说，这个CDM其实就是一个5乘5的矩阵，横轴分别是NIST CSF 的五大类别：识别、保护、侦测、回应、复原，并且加入了以资产类别画分的纵轴：设备（Devices）、应用程式（Application）、网路（Network），资料（Data）与人员（User）。

叶雅妘表示，这是一种「以成果为导向」的衡量方式，透过衡量「各个面向的指标」。例如，在人员方面，可以评估实施教育训练或社交工程演练后，同仁的资安意识是否能有效提升，她说：「他们会先去做这个评比，然后可能以每季或每年来检视。」

又如，针对电脑中毒事件，则会去看使用者和操作行为的关系，像是操作电脑时的网路卫生习惯，或是有没有防御不足的地方，需要补强进而加强相关资安投资。她指出，公司希望借此有一个比较量化的结果，去呈现「这个投资是不是有效益」。

陈诘昌则补充说道，资安要做到持续改善，但问题在于「你没办法量测，就不能改善」。因此，他认为，如何量测资安投资的效益，是资安部门最大的功课，他也特别强调量测、量化的重要性。

在教育训练方面，陈诘昌强调资安意识与个人关联的重要性。他提到，社交工程演练的教育训练，不会只刻板地告诉同仁「你不要点击连结」，反而会从「保护个人不要被诈骗」的角度出发。

他指出，很多人本性都太善良了，太容易信任别人，结果就是「容易被诈骗」。他会举很多银行用户被骗的例子，例如点击脸书广告后输入信用卡资料，或是收到假冒中华邮政、台水、台电的简讯或邮件；甚至有高阶主管收到其他银行的通知简讯，第一直觉以为收到诈骗简讯，事后查证后才发现，原来不是诈骗。

他表示，透过这些案例的分享，都可以让台新银行的同仁意识到，资安与个人生活「息息相关」。他甚至会问同仁「台新的网域是什么」，来强调辨识网域真伪的重要性。

「要让同仁对资安防护有感，一定要让同仁觉得，银行种种措施的目的，是为了保护个人，而不是单纯为了保护公司系统。」陈诘昌说道。

培养资安领导者，鼓励主动贡献与独立思考

对于加入FIRST之后，陈诘昌表示，他对于台新银行自家的CSIRT团队也有不一样的期许。他再次强调「主动性」与「独立思考」的重要性。他特别鼓励同仁，要多多参与外部的讨论，例如，参与银行公会不同工作小组（Working Group，WG）组别，特别是关于资安相关法规拟定的会议。

他意识到，银行应该更有意识地培养更多资安接班人，由其他具备专业能力、但目前可能职阶还不高的同仁代表出席，这对他们也是一种训练和磨练。

陈诘昌表示，参加这种法遵相关的会议，可以知道讨论过程中，对于法条制定的前因后果、来龙去脉，也有助于判断某条法规的适用原因，这样才不会发生「看到某一条法规，不知道为什么要这么制定，然后就只能照做而已。」

他强调，让下面的同仁多去参与，而不是总是由某些高阶主管出席这类法遵会议。因为，只有参与其中，才能真正做到「知其然、知其所以然」，特别是涉及合规的部分，如果知道当初讨论的过程的历程，就会知道「为什么这样定，背后缘由是什么」。

这类会议之所以珍贵且重要的原因在于：所有的法规都不可能强硬到大家都无法配合，总会保留一些弹性，陈诘昌说：「而那个弹性的判断标准，往往是在讨论的过程当中，由各家银行分享实际窒碍难行的地方才产生的」。

所以，陈诘昌对于台新银行加入FIRST国际资安组织，也是基于类似的逻辑。他认为，在这种国际性的场合中，往往会有许多讨论，可以知道大家对资安事件的观点为何。

若以「零信任」为例，他认为，各家银行都会「一个零信任、各自表述」，对他而言，了解其他银行同业的不同观点就很重要。陈诘昌强调，不希望银行资安同仁处于一个一言堂的工作环境，希望透过更多面向的观点交流，进而鼓励同仁能更主动表态，愿意在这样的场合中分享他们的观点，并可以透过与他人讨论的方式，对自己的观点可以有更多琢磨。

总的来说，陈诘昌对CSIRT团队最大的期许是，不只是被动执行指令的团队，希望透过更多经验累积和情资的分析学习，成为具备独立思考和判断能力的资安团队。

他希望CSIRT团队成员能够「像盖一个城市」的泥瓦匠一样，心中可以看到更大的愿景，而不是只是做一个砌墙或盖城堡的泥瓦匠而已，能够累积更宽广的视野和高度，逐步成长为资安领域的领导者。

他相信，透过这样一个长时间的训练，和每一个环节的历练，可以让资安团队的成员，都成为具备思考和动手能力的资安官。

资安共好，共筑信任的数位金融未来

陈诘昌坦承，资安的投资和绩效还是很难具体衡量，但是他坚信，「你不做，就是零；你做了，分数就会慢慢提升」。这也是为什么台新银行成为台湾第一家加入FIRST的银行业者的原因。

他说：「加入FIRST以及持续推动CSIRT的发展，都是希望提升台新银行在资安领域的整体能力和成熟度」。

透过加入FIRST这样的国际平台，陈诘昌表示，台新银行不仅将资安联防生态系扩展至全球，与全球顶尖团队合作交流，共享资安威胁情资，提升应对网路攻击的能力。更重要的是，「这也为内部CSIRT团队创造了学习、成长与展现的机会。」他说。

陈诘昌相信，台新银行CSIRT团队正一步步努力，将资安从「合规」要求，逐步转化提升业务发展和韧性的关键力量，台新银行正在往「为客户提供可信任的数位金融服务」的愿景努力著，并对台湾金融环境的整体安全与发展，贡献一份心力。

台新银行成为台湾第一家以银行业者身分加入FIRST国际资安组织的举措，不仅为自身资安防护能力开启新篇章，更为台湾金融产业在全球资安合作树立典范。他笑说：「这是一个充满挑战的过程，但也充满了培养未来资安人才、实现资安共好的愿景」。

随著全球网路威胁日益加剧，金融业资安不再是单打独斗的战役，而是需要国际联防、共同进步的长期工程。陈诘昌认为，他希望透过分享台新银行的经验，可以为台湾金融业面对未来资安挑战，提供宝贵的借鉴与启示。

台新银行资安长陈诘昌表示，他对该公司CSIRT资安团队的期待是成为具有愿景和高度的「建造城市的泥瓦匠」，透过主动性和独立思考，成为资安领域的专家。