除了國泰世華事件，台灣金融業在選擇海外技術供應商時，通常會面臨哪些潛在的資安挑戰？

台灣金融業選擇海外技術供應商時面臨的潛在資安挑戰

除了國泰世華事件外，台灣金融業在選擇海外技術供應商時，普遍面臨多重資安挑戰。這些挑戰涵蓋供應鏈風險、法規遵循、資料外洩及技術依賴等方面。金融機構需審慎評估這些風險，以確保客戶資料和金融系統的安全。

供應鏈風險與第三方依賴

金融機構委託海外供應商開發或維護核心系統時，可能面臨供應鏈風險。例如，供應商可能與其他具有潛在風險的實體有關聯，這增加了惡意程式碼植入或資料外洩的可能性。此外，若供應商的資安防護措施不足，也可能成為駭客攻擊的目標，進而影響金融機構的資料安全。如國泰世華銀行信用卡核心系統升級專案的合作廠商「新加坡商認和科技（AnyTech）」疑與中國江融信科技公司具有關聯，引發資安疑慮，突顯了供應鏈風險的複雜性。

法規遵循與跨境資料傳輸

台灣金融業在與海外供應商合作時，還需符合台灣及海外地區的相關法規。這包括個資保護法、金融法規以及跨境資料傳輸的限制。不同國家和地區的法規差異可能導致合規成本增加，並增加法律風險。若供應商未能充分了解並遵守這些法規，可能導致金融機構面臨罰款或聲譽損害。

資料外洩與個資保護

金融機構的核心系統通常涉及大量客戶敏感資料，包括個資、交易紀錄等。若海外供應商的資安措施不足，或內部管理不善，可能導致資料外洩。此外，若供應商的員工或第三方取得系統原始碼，也可能增加資料外洩的風險。因此，金融機構需確保供應商具備足夠的資安防護能力，並建立完善的資料保護機制。

技術依賴與風險集中

過度依賴單一海外供應商可能導致技術依賴和風險集中。若該供應商發生問題，例如倒閉、技術故障或遭受攻擊，可能嚴重影響金融機構的營運。因此，金融機構應分散風險，避免過度依賴單一供應商，並建立備援機制，以確保業務持續性。

加強資安防護的建議

為應對這些資安挑戰，台灣金融業應加強對海外技術供應商的資安審查和監控。這包括：

• 強化供應商盡職調查：在選擇供應商前，進行徹底的背景調查，包括股東結構、資安能力、法規遵循等。
• 簽訂嚴格的資安合約：在合約中明確規定供應商的資安責任和義務，包括資料保護、風險管理、事件應變等。
• 實施持續監控：定期對供應商的資安措施進行評估和監控，確保其符合要求。
• 建立備援機制：分散風險，避免過度依賴單一供應商，並建立備援系統，以應對突發狀況。

透過這些措施，台灣金融業可以更好地應對海外技術供應商帶來的資安挑戰，確保金融系統和客戶資料的安全。