前言
現代經濟學之父亞當斯密(Adam Smith)在其1776年的著作「國富論」中提及,市場經濟受到「一隻看不見的手(An Invisible Hand)」所引導著,其後的經濟學家對於這個命題有著諸多不同的詮釋。其中,多數人認為「一隻看不見的手」指的是價格機制,意即商品或服務的價格與需求量呈反向變動關係。然而,科技進步帶動現代人生活品質的提升,「價格」已非消費決策的唯一考量,「品質」則已悄然超車,成為消費決策的驅動力,資本市場的投資人亦是如此。集中市場電子式交易成交比重已於2020年起突破70%,未來電子式交易與數位服務的品質,將是各證券商戮力發展的業務重點。
數位轉型已是不可逆的趨勢
資本市場對於經濟發展的重要性不言而喻,各國政府無不尋求在適當的監理下,加速證券業發展。近年來大數據與人工智慧題材橫空出世,全球證券業爭相進行數位轉型(Digital Transformation),無非希望能夠在無國界的資本市場奪得先機。廣義的數位轉型,指的是組織採用新興資訊技術來重新設計業務過程,藉以提高效率、創新和提供更好的服務價值。職是之故,我們可以從前述數位轉型目的中獲知,數位轉型已是不可逆的趨勢,原因如下:
1. 投資人需求與期望改變:隨著科技的發展和交易習慣的改變,投資大眾期待更便捷、即時、個人化的金融服務和交易體驗。數位轉型可讓證券商更彈性地滿足這些多元需求,提供耳目一新、更具互動性和更便利的服務。
2. 提高效率和降低成本:數位化能夠改善業務流程,利用自動化作業提高執行效率。這有助於降低運營成本,避免人工作業疏失的風險,同時提供更快速、高品質的客製化服務,從而增加競爭優勢。
3. 創新金融產品與服務:透過數位轉型,證券商可以開發更多新金融商品和服務,例如提供客製化的投資組合資訊、發展智能客服或多功能數位介面設備等。這些創新產品和服務有助於滿足投資人的多樣化需求,吸引更多客戶。
4. 國際市場拓展:資訊不對稱往往是導致投資人躊躇於投資決策的關鍵因子,隨著資料科學的發展與視覺化工具技術的革新,金融服務提供者已能提供高度客製化的資訊予客戶。因此,證券商如能夠透過數位轉型,應用大數據與互動式報表減少資訊不對稱,將更容易吸引世界各地投資人的目光,拓展國際業務版圖。
綜上所述,數位轉型能為證券商帶來嶄新的機遇,並可滿足市場需求、提高效率、創新服務和擴大市場,讓證券業在快速變化的環境中,敏捷地調整營運策略,維持國際競爭力。
我國證券業的數位轉型進行式
證券業的數位轉型能否成功,並非僅取決於是否擁有關鍵技術,而是產業內所有參與者,都須具備數位轉型的策略與思維,依據自身的角色與定位,各司其職。證券商應致力於推動B2C的數位服務,證券監理機關則應專注於轉型B2B數位監理,方能達到產業數位轉型的動態均衡。
證券業在我國雖受到高度監理,然在近年借鏡金融科技發展領先國家成功經驗,以及國際趨勢的推波助瀾下,金管會也陸續推出許多支持金融數位轉型的制度與政策,例如監理沙盒、資本市場藍圖以及金融科技發展路徑圖。期能實現更為包容、公平及永續的金融科技生態環境。而證券業未來政策開放或證券商發展重點,將聚焦於提升投資人便利性、提供客製化AI服務以及鼓勵多元數位化服務等三大面向。
1. 提升投資人便利性:金管會近期已開放證券商得以手機簡訊、APP寄送投資人對帳單及詢證信函,以及開放投資人得透過Mobile ID、銀行帳戶等身分驗證程序,線上申請調整單日買賣額度;刻正持續研擬電子支付帳戶得作為投資人分戶帳之出入金管道。
2. 提供客製化AI服務:透過演算法,以數據分析及AI技術,提供個人化資產配置及投資組合等資訊。
3. 鼓勵多元數位化服務:證交所及櫃買中心共同訂定「證券商提供數位服務作業指引」,開放證券商設置「數位體驗專區」,並彈性設置智能客服中心,引領投資人進入數位時代。
金融科技與數位轉型為證券業帶來破壞式創新,不僅加快產業運行的步伐,也為監理機關帶來新的風險與挑戰。未來證交所更將以「創新」、「永續」、「數位」及「資安韌性」等四大主軸政策,與證券商攜手同行、邁向未來。爰此,B2B數位監理科技的發展刻不容緩,監理機關應躬先表率,以達成維護市場秩序的使命,其方式有:
1. 擴大運用大數據分析:以大數據儀表板呈現具分析性質的管理性報表,辨別高風險項目,執行以風險基礎(Risk-Based)的精準查核。
2. 優化查核數位化系統:撰擬數位化查核作業指引,建立及持續優化整合線上編製查核底稿、取得電子查核證據、線上彙整查核報告與線上簽核等功能的查核數位化系統。
3. 導入機器人流程自動化(Robotic Process Automation, RPA):在相關風險可控下,將例行管理性報表或作業流程,以RPA取代人工作業。
4. 降低紙本文件的使用:與證券商及周邊單位往來公文,改以電子公文傳輸。
數位轉型同時也帶來嶄新的挑戰
改革與創新並非一蹴可幾,亦不如想像中那樣地順遂與美好。推動數位轉型的過程當中,組織文化將首當其衝,導致組織內部出現潛在的抵抗力量,此時需要長時間的努力並仰賴管理階層由上而下(Top-down)的推動。除此之外,數位轉型需要投入大量資本,將對組織的財務狀況產生莫大壓力,且初期成本與效益尚難以衡量,如何說服高階管理人員接受組織革新,將是另一個艱鉅的挑戰。
組織確定進行數位轉型後,則可能遭遇既有作業流程與資訊技術整合的考驗,以證券商優化B2C交易數位服務為例,前述整合應完整考量投資人的投資交易旅程(Trading Journey),包含有價證券價量資訊查詢、交易執行、成交回報與帳務資料查詢等,使投資人沉浸於「無斷點」的數位體驗。在本例中,證券商必須慎重思考的是,如何流暢地串接各個電子化程度不一的前、中、後台作業流程,以及新技術與既有系統或程式是否存在相容性的問題。於此得知,資訊安全風險,將是證券商確立數位轉型策略後的一門必修課。
證券商數位轉型的過程當中,因資料與作業流程大量數位化,對於資訊技術的導入與通訊技術的運用與日俱增,數位化轉型帶來好處的同時,資通安全風險也悄然而至,若輕忽資通安全風險帶來的影響,可能對組織的營運和商譽造成無法挽回的嚴重傷害。近年證券商曾經遭受DDoS攻擊、撞庫攻擊、網頁置換、主機共置缺失或核心系統服務中斷等資安事件,這些都是資通安全風險影響組織營運的實例。資通安全風險主要係源自組織內控失靈(如機敏資料外洩、人員不當管理)及組織外部威脅(如惡意攻擊、供應鏈管理)串聯而成,說明如下:
1. 機敏資料外洩:資料與作業流程數位化是數位轉型的核心,證券商在提供服務與內部營運的過程當中儲存及處理大量機敏資料,若未建立適當控管機制,機敏資料可能遭受未經授權的存取或洩露,進而導致重大災難。
2. 人員不當管理:組織數位轉型的過程當中,如輕忽員工教育訓練的重要性,可能因為不熟稔新流程發生作業疏失或是缺乏風險意識,導致組織出現資通安全漏洞。
3. 惡意攻擊:數位轉型大量運用網路等資訊技術,疏於資通安全防護將可能成為網路惡意攻擊的目標,常見的惡意攻擊包括病毒、勒索軟體、惡意軟體和駭客攻擊,這些攻擊可能導致資料損失、系統與服務中斷。
4. 供應鏈管理:多數證券商與資訊服務供應商合作,提供更完整友善的證券數位服務,涉及大量資訊的傳輸及處理,若供應商未落實相關資通安全作業,亦有可能導致機敏資料外洩與服務中斷的風險。
從上述風險來源可以得知,資通安全事件發生,可能對證券商帶來偌大的財務損失、商譽減損、法律責任與客戶流失。例如機敏資料外洩、網路惡意攻擊和營運中斷,恐增加相關系統修復及營運成本,負面資訊將影響證券商並導致商譽受損,影響夥伴合作關係,造成客戶流失。尤有甚者,資通安全事件如涉及違反法令規定(如個人資料保護法、資通安全管理法),可能需要面臨高額裁罰與訴訟成本。爰此,資通安全風險對於數位化組織的衝擊甚大,證券商策劃數位轉型藍圖的過程中,應思考如何降低資通安全風險為首要之務,為此藉由強化資通安全韌性(Cybersecurity Resilience)以降低前揭資通安全風險帶來的衝擊,成為證券商資通安全發展的重要議題。
數位轉型應構築在強大的資通安全韌性之上
資通安全韌性是指一個組織或系統在面臨資訊安全風險、威脅、攻擊或災難時,能夠有效應對並保持正常運作的能力。資通安全韌性不僅關注於防禦攻擊,還包括了組織恢復和適應的能力,以應對不斷變化的資通安全威脅環境。藉由建立「防禦」、「偵測」、「響應」、「恢復」及「適應」等五大支柱,以健全證券商資通安全韌性:
1. 防禦(Prevention):資通安全韌性的基礎是有效的安全防護與控管措施,包括網站應用程式防火牆(Web Application Firewall, WAF)、入侵防禦系統 (Intrusion Prevention System, IPS)、加密工具或良善的管理制度等,以減少外部威脅和內控失靈串聯發生風險的可能性。
2. 偵測(Detection):證券商需要能夠即時偵測資通安全事件和攻擊,透過金融資安資訊分享與分析中心(F-ISAC)等情資單位分享攻擊資訊,進行資安聯防,讓證券商能有效阻擋攻擊,降低資通安全風險。
3. 響應(Response):證券商應訂有明確的應對措施或持續營運計畫(Business Continuity Plan, BCP),並納入可能發生的各種情境,以即時回應資通安全風險事件,包括隔離受影響系統、啟動事件調查、修復受損資源等。
4. 恢復(Recovery):證券商對於資安事件發生後,應建立迅速復原並恢復正常營運的能力,這可能需要從備份中還原資料或系統,以及執行備援切換,例如建立故障復原程序、縮短復原時間目標(Recovery Time Objective, RTO)。
5. 適應(Adaptation):資通安全環境不斷變化,證券商需適時調整其資通安全防護策略和措施以應對新的威脅,例如辦理內部演練或參加證券周邊單位辦理的市場會測,增進證券商對於各種事件發生的調適能力並降低反應時間,以持續因應變幻莫測的攻擊威脅。
由於近年來我國政府政策大力鼓勵證券商推動數位轉型,為維護證券交易秩序及資本市場穩定及風險考量,金管會將證券商依實收資本額區分為四級,並應用於資通安全查核頻率、資通安全長設置標準、導入國際資通安全管理標準、專責資通安全單位及人員數量配置、資通安全防禦設備投入時程等措施之差異化管理;除此之外,金管會及證券周邊單位亦定期或不定期就證券管理法令所規範事項對證券商進行資通安全查核,確保法規得以落實執行。進一步分析前開查核常見缺失事項,建議證券商應持續關注以下重點事項,以強化資通安全韌性:
1. 風險評估和管理:定期進行資通安全風險評估,確定潛在威脅因素,並依據實際營運狀況(如客戶數大幅攀升),以合理情境定期執行完整壓力測試,確保風險抵減或管理措施的有效性。
2. 制定資訊安全政策:制定明確的資通安全防護策略,包括風險評估、安全措施和緊急應變計畫。
3. 強化存取控制:實施強化的帳號及權限管控,例如應用身分驗證程序、採用優質密碼及最小權限原則。
4. 加強供應鏈管理:加強對資訊服務供應商和合作夥伴進行評估與遴選,並有效管理供應商合作內容,確保渠等符合資通安全標準與要求。
5. 增強資料保護:實施資料加密、多重身分驗證和漏洞管理,避免機敏資料外洩。
6. 監控和響應:建立持續監控系統,及早發現並應對資通安全風險事件。
7. 強化核心系統防護:定義核心系統並強化其防護機制,包括資料中心、網路設施和通信系統等基礎設施,以確保核心系統於遭受資通安全攻擊或其他災害時能夠持續運作。
8. 員工教育和培訓:從業人員是證券商資通安全的第一道防線,故應定期接受資通安全培訓,以提高對風險的辨識並強化安全意識。
9. 備份和復原計畫:建立完善的備份和復原計畫,確保系統運作中斷時能夠即時恢復。
10.更新和漏洞修復:定期更新系統和軟體,並及時修復已知的漏洞,以降低受攻擊的風險。
結論
數位轉型是我國資本市場及證券商維持國際競爭力的關鍵策略,惟運用大量新興資訊科技,也讓資通安全風險隨之而來。因此,證券商必須制定綜合且全面性的資通安全政策,並積極採取防護措施以回應及降低風險,數位轉型應構築在強大的資通安全韌性之上,才能健全發展數位化及提升營運綜效。
新興資訊科技的革新可謂一日千里,完善資通安全並無任何的捷徑,本文所提及有關資通安全韌性的五大支柱及重點加強事項,旨在提供證券商調整資通安全策略的合宜執行框架,證券商應由管理階層由上而下建立重視資通安全的文化,適時評估組織內部與外在威脅的變化,並透過執行框架,適度調整資通安全防護策略,方能站穩數位轉型的巨輪,於國際資本市場永續經營。