〈編輯手札〉
03 期待台美聯防 金融金鐘罩
〈金融瞭望台〉
08 央行數位貨幣與金融穩定
封面故事
10 台美合作 金融資安更罩
總論篇
12 台美合作 更罩！ 資安是國家戰力 也是金融業新資產！
美國篇
16 曾對G7提金融網路演練計畫 解密OCCIP 聚焦關鍵基礎設施聯防
技術篇
20 當惡意攻擊變成一門生意 資安攻防戰的矛盾攻略才知如何勝出
台灣篇
24 增進實戰能量 金管會今年擴大演練 資安韌性應成強化金融穩定助力
機構與人才篇
28 隱形使者――金融資安資訊分享與分析中心 鋪天蓋地監理聯防
〈焦點新聞〉
32 道阻且長 行遠將至 永續金融步入深水區 及早因應淨零轉型
38 力挺淨零！ 五大永續金融先行者領軍節能減碳動起來
特別企劃
42 不要讓碳交易變成碳焦慮
圖解碳交易
44 台灣碳權交易所正式上路 零碳時代Q&A一次看
總論篇
48 斯斯有兩種 碳權也有兩種 關於碳權你應該知道的二三事
各國發展篇
52 國際碳權市場與交易所發展概況 追求淨零 碳交易上路
台灣篇
56 台灣不缺席淨零行列！ 碳交易平台啟動 提升國際能見度
〈特別報導〉
60 建立金融網絡韌性 開展主權投資影響力
64 美國監理機構開始把資安的重點 轉向雲端服務業
70 「好好說話」生成式AI 將帶來對話式銀行業務的時代
74 金融業追ChatGPT 數據分析與預測將「被革命」？
78 區塊鏈＋智能合約 保全／理賠聯盟鏈開啟資料共享新世代
82 多元核心 數位永續 上海商銀落實 One Bank, Total Solution
86 綠能需求強勁 公用基建動能油門「催下去」
90 FPAT舉辦CFP®/AFP 2023年授證典禮 新任理事長黃崇哲：三大主軸培育台灣高資產管理專才
92 FinTech×金融業×創新服務 AI驅動轉型 造就多贏契機
95 2022菁業獎 最佳法人信託金融獎
97 2022菁業獎 最佳農業金融獎

台美合作 金融資安更罩
企劃：張嘉伶
撰文：張嘉伶、陳曉嵐、劉以豪、陳雅莉、陳亞維
G7各國的金融部門都積極進行網路攻防演練，台灣已成為美國資安事件應變及安全小組論壇的會員，若台美金融資安能聯防演練，相信更能增強應對被攻擊的能力，台美合作！金融資安更罩！
 
P3
期待台美聯防 金融金鐘罩
黃崇哲
《台灣銀行家》雜誌總編輯
在日本311事件發生的4個月前，福島核能電廠依據《原子力災害對策特別措置法》規定，辦理了核能綜合防災訓練演習，只是沒有想到演習事件竟然成真！該次的演習經驗成為福島核電廠員工災後的工作遵循，同時還減少災難發生時的徬徨感，也盡可能降低損失。
具備防災思維是相當必要的，尤其是對當今的金融業而言。隨著金融科技發展，金融產業運用數據演算以及讓服務上雲已經成為下階段發展的必要方向。然而，資訊安全的挑戰持續不斷，藉由科技創新提供更便利的金融服務時，卻也讓機構以及消費者的資訊與資產暴露於更多的資安挑戰之下。
這些風險多種多樣，從試圖盜取個人帳號密碼的個人駭客，到企圖破壞金融市場穩定的恐怖份子集團，都需要完善進行資安辨識、保護、偵測、回應和復原等工作。尤其台灣的地緣政治風險，讓具有敵意的網路駭客不時挑釁滋事或隱藏毒蟲，等待衝突發生。我們能做的，就是更多的因應防備，更多的演習演練。
為了滿足這樣的需求，台灣金融研訓院與美國在台協會（AIT）在6月底共同舉辦了台美金融資安論壇。論壇特別邀請了3位來自美國財政部網路安全和關鍵基礎設施保護辦公室（OCCIP）的專家，分享美國經驗。同時，也藉此機會，讓台灣各金融資安主管人員齊聚一堂，針對台灣金融資安的整備情況與美方進行交流。
OCCIP的主要責任是協調整合美國公部門和民間產業的金融資安能量，同時尋求因應之道。該機構甚至在2020年協助了七大工業國發布《G7網路演練計畫的基本要素》（G-7 Fundamental Elements of Cyber Exercise Programmes），針對G7各國的金融部門在實體網路攻防演練時，提供作業項目指引。因此，如果台灣能引進OCCIP這樣的國際專業機構，協助台灣金融機構演練資安威脅，將對台灣資安能力的培養有顯著助益。
這樣的台美合作也受到一直以來重視資安議題的蔡總統親自出席並予以肯定。蔡總統一直強調「資安即國安」，領導執政團隊不斷努力提升各方面的資安防護，除積極成立數位發展部與國家資通安全研究院外，更持續推動資安國際合作，例如自2022年開始，台灣成為美國資安事件應變及安全小組論壇（FIRST）的會員，並與許多國家的金融資安單位簽訂了MOU，建立了合作管道，進一步拓展了台灣金融資安的國際合作。在政府諸多努力下，蔡總統也期勉金融業：雖然提升資安需要投入大量成本，但堅持實施資安措施將有助於保護金融機構、企業和客戶，使資安成為金融機構的重要資產。
災難往往有徵兆，但只有做好準備的人才能看見。很高興看到台灣與美國金融資安團隊開始對談，相互交流風險認知與因應思維。我們更期待，除了軍事熱戰的演練，台美也可以開始規劃金融資安的聯合演練，以提升我國金融業應對資安風險的能力。在這其中，若能結合台灣本身已有的資訊產業能量，將是更好的方向。然而，在進行這些演練之前，各家金融機構高層應更加重視資安人員的薪酬和升遷，才能為一切準備奠定良好基礎。

P8-9
央行數位貨幣與金融穩定
撰文：張凱君
中央銀行發行的貨幣是最安全的金融資產，因此通用型CBDC對意圖規避風險的用戶特別有吸引力。金融危機發生時，有可能出現數位擠兌，但CBDC的流向與流量卻也可能提供有助金融穩定的訊息。
根據Atlantic Council的「央行數位貨幣（CBDC）追蹤器」統計，截至今（2023）年6月底，全球已有130個國家嘗試探討數位法幣的可行性，較一年前多了20國。這130個國家中，有110國目前處於研發、試驗或實際推出CBDC的階段。我國中央銀行也於去年6月發表通用型CBDC的試驗成果，總裁楊金龍並在金融資訊系統年會表示，央行將以本階段試驗結果為基礎，進行意見調查。CBDC的發行牽涉甚廣，包括對金融中介機構、金融穩定、貨幣政策執行、隱私保護與金融犯罪防範等諸多面向的影響。本文限於篇幅，僅能約略談一談CBDC與金融穩定的關聯。
CBDC的數位流通形式 有可能在金融危機時增加擠兌風險
毫無疑問，中央銀行發行的貨幣是最安全的金融資產，因此通用型CBDC對意圖規避風險的用戶特別有吸引力，尤其是在金融體系面臨壓力的情況下。由於數位形式更容易流通，也就更容易造成數位擠兌。歐洲央行（ECB）2020年的一份報告中示警，當金融危機促使儲戶對整個銀行業缺乏信心時，流動資產可能會非常迅速地從商業銀行存款轉移到數位歐元。美國聯準會（Fed）也有類似的憂慮，一份2022年的報告中提到，CBDC能夠讓銀行擠兌更容易發生或災情更慘重。這些論點背後的邏輯不難理解，畢竟擁有一種新型且安全方便的貨幣形式，可以使短期債權人在金融危機時期從銀行或其他金融機構撤出資金的選擇更具吸引力。也就是說，市場一旦陷入金融恐慌，這種將其他形式的貨幣快速轉換為CBDC的能力，可能會使諸如審慎監管、政府存款保險和獲得央行流動性等傳統措施效力大減，難以避免商業銀行存款大量轉換為CBDC。
當然，這種不利影響或許可以透過CBDC的適當規劃而減輕。例如可以選擇讓CBDC不支付利息。儘管如此，由於中央銀行的負債本質上風險較小，即使CBDC的報酬率毫無吸引力，儲戶在危機中還是可能更偏好CBDC而不是銀行存款。比較有效的作法，也許是限制用戶可以持有的CBDC總量，或限制用戶可在短期內累積的CBDC數量來降低擠兌風險，這種管制的副作用則是影響大眾對CBDC的使用需求。
然而CBDC的流向與流量 可能有助於提供促進金融穩定的訊息
以上是對CBDC與金融穩定的一般看法，然而近期一篇由美國Rutgers大學的經濟學家T. Keister與合作者所著，刊登於《經濟動態與控制期刊》（JEDC）的文章卻顯示，CBDC對於金融穩定的影響不見得全然是負面的。這是因為CBDC的流向與流量本身，可以提供某些有助金融穩定的訊息。觀察資金流入CBDC的情況，可以為金融監理機構提供更多關於金融體系狀態的蛛絲馬跡，特別是存款人對其銀行的信心。在金融恐慌時期，銀行或其他金融中介機構擁有關於其資產質量和流動性狀況的私有訊息，例如存款人和其他短期債權人繼續提供資金的意願。處於不利情勢的銀行通常會有動機向監理機構隱瞞相關事實（至少一段時間），以避免立即觸發監管行動。這些被隱藏的訊息所代表的事實攸關監理機構對金融危機的早期因應，一旦錯失處理時機恐使事態更難收拾。該篇文章的模型展示了觀察資金流入CBDC的情況，如何讓監管者更迅速推斷銀行儲戶的擠兌何時開始，並讓陷入困境的銀行更快獲得援助。由於擠兌對儲戶是有成本的（例如定存提前解約損失的利息），所以當儲戶預期即將出現有效的監理措施時，他們加入擠兌的誘因就會降低。換句話說，透過金融危機發生時，預期快速出現監理反應的訊息效應，CBDC可能成為改善（而不是惡化）金融穩定的機制。如果市場上不存在CBDC，那麼其他儲戶提前領出存款只會導致剩餘儲戶的損失幅度更大，因而增加個人儲戶趁早提領存款的動機。引入CBDC會削弱這種關聯性，因為提前取款也會產生導致監理機構更快反應的訊息，而這類反應往往會減少剩餘儲戶的損失，這意味著某些存款人提前取款的行為反倒降低了其他存款人提前取款的動機。在這種情況下，CBDC的流通可以提高金融系統的穩定性。
由此觀之，央行數位貨幣與金融穩定之間的關聯性並非明顯可辨。CBDC對金融穩定究竟有何影響、如何影響，如何藉由機制設計控制其影響，我們需要更多的討論與分析。（本為作者為台灣金融研訓院金融研究所副所長）
P10-11
台美合作 金融資安更罩
企劃：張嘉伶
撰文：張嘉伶、陳曉嵐、劉以豪、陳雅莉、陳亞維
G7各國的金融部門都積極進行網路攻防演練，台灣已成為美國資安事件應變及安全小組論壇的會員，若台美金融資安能聯防演練，相信更能增強應對被攻擊的能力，台美合作！金融資安更罩！

P12-15
總論篇》
撰文：張嘉伶、陳曉嵐
台美合作 更罩！ 資安是國家戰力也是金融業新資產！
美國已發布國家資安戰略，確保國民能受益於安全的數位生態系，透過戰略投資與協調，建立安全與韌性的下世代技術與基礎建設，並建立國際夥伴關係，台灣擴大跟美國聯手，相信能升級更強資安防護罩，資安也將成為金融業的新資產！
俄烏開戰500多天，陸海空全面開戰外，網路資訊戰也變身為第四戰場，而台灣身受地緣政治衝突影響，很容易成為國際駭客攻擊的熱區之一。觀察到美國日前已發布資安戰略，也特別設置專責單位負責金融資安，台灣方面也跟上國際趨勢，總統蔡英文更帶頭提出應提高金融機構的防護力和應變力，即使沒有短期量化的收益，但是管理階層應堅持落實資安，並提供適當的資源，保護金融機構、保護企業和客戶，「資安將會成為金融機構很大的資產！」因強大的資安能力已成為國家的新戰力指標！
網攻成全球各組織新難題 強化資安勢在必行
近年來，國內外機構資安遭受網路攻擊事件頻傳，挑戰政府與企業的資安應變能力。根據Check Point Software《2023年網路安全報告》調查顯示，2022年全球網路攻擊年增38%，各組織每週面臨的攻擊數量平均為1,168次；再看2023年第1季全球網路攻擊每週平均增加7%，各組織每週平均被攻擊1,248次，而台灣各組織每週平均被攻擊達3,250次，是全球平均的2.6倍、年增率24%。
另一家資安公司卡巴斯基（Kaspersky）的各產品檢測統計，勒索軟體在2022年嘗試勒索攻擊的次數達7,420萬次，比起2021年的6,170萬次，成長20%。隨著新興科技發展，衍生複雜又多變的資安問題，網路攻擊幾乎涵蓋各類型的產業機構或組織。
為了抵擋來自中國及其盟友的網攻威脅，美國祭出一系列防護措施，在2021年成立網路空間和數位政策局（BCDP），加強與大型科技公司的合作；接著於隔年10月公布《2022年國家安全戰略》（National Security Strategy），內容提到針對電子業製造業的供應鏈安全問題，提升資安防護手段是必要措施。
美國祭出資安系列防護措施 攜手台灣有跡可循
美國白宮更在今年3月2日發布國家資安戰略（National Cybersecurity Strategy），除了確保美國全體國民能受益於安全的數位生態系，透過戰略投資與協調合作，建立具備安全與韌性的下世代技術及基礎建設，同時建立國際夥伴關係，追求共同目標。
而台灣不論是在國際政治或經濟上，都扮演日益重要的角色，加上台美關係互動密切，在資安問題上，雙方更是攜手合作及互助的夥伴，從2020年9月台美聯手偵破境外駭客攻擊中油案，並共同召開記者會說明的情況可見一斑。
為了深化台美間的資安交流，美國在台協會（AIT）在今年6月底邀請美國財政部網路安全和關鍵基礎設施保護辦公室（OCCIP）網路情報的風險分析和韌性部門主管George Salmoiraghi、國際網路政策副主任Wilson Co及高級政策顧問Steven Nider來台，並參加由金融研訓院主辦、資策會等協辦的「台美金融資安論壇」，分享金融監理與風險管控，這也是台美雙方首次在金融資安議題上進行公開性合作，總統蔡英文、AIT處長孫曉雅（Sandra Oudkirk）都親赴現場並致詞，且不約而同地提到「資安就是國安」的重要性。
AIT處長孫曉雅致詞時感謝財政部、金管會及企業界與AIT努力，共同處理必須合作的資安問題，緩解銀行面臨的風險，不論在美國或台灣，金融業都會面臨勒索軟體及駭客攻擊事件，在不法分子持續演進、變化的情況下，雙邊要共同合作、持續學習，讓網絡更強韌。
孫曉雅也說，美國拜登政府今年3月推出資安策略，採取重要措施以減緩風險，要與台灣等理念相近夥伴共同推動反映價值、繁榮、保護人權與民主自由的方案；為了達到目標，各項策略必須有能力不受威脅攻擊，並為未來的韌性進行投資，攜手進行相關應變。
孫曉雅指出，AIT重要的工作之一是資安交流，透過全球交流或其他演練，還有台美其他機制等，更進一步合作，首次推出金融資安論壇，之後商務部將有代表團來訪台灣，美國致力於跟有共同價值觀的夥伴合作，一起打造更能信任的供應鏈。
資安即國安 打造更強韌資安防護體系
總統蔡英文致詞時表示，她不斷強調「資安就是國安」的概念，尤其在台灣推動數位轉型的同時，無可避免需要面對更複雜多變的資安威脅，所以，對資安風險的辨識、評估和控制，更需要透過跨產業、跨領域的聯防合作，而金融研訓院和AIT共同舉辦的「台美金融資安論壇」就是最佳的展現。
蔡英文也細數執政團隊致力提升各面向的資安防護。首先，在政府部門的部分，去年8月「數位發展部」正式成立，且率團赴美參加全球重要的資安會議「RSA」；而「國家資通安全研究院」在今年2月正式揭牌，為國家級的資安行政法人，將全力推動前瞻資安科技的研發、應用及服務，致力提升關鍵資訊系統，以及基礎設施的防護能力。
另在國際合作部分，台灣並不落人後，蔡英文表示，台灣在2017年設置「金融資安資訊分享與分析中心」（F-ISAC），透過持續演練、評估和分析，提前預防系統性風險的發生。而F-ISAC在2019年加入美國的相關體系，合作、分享金融資安的情資；且自2022年1月開始，台灣成為美國資安事件應變及安全小組論壇（FIRST）會員，與許多國家的金融資安單位簽訂MOU，建立合作管道，擴大金融資安的國際合作。
至於國內金融機構方面，金管會從2020年起推動「金融資安行動方案」，要求金融機構設置資安長，導入國際資安標準，並辦理資安攻防的演練，建立應變體系，提高對資安事件的反應能力；去年更進一步發布「金融資安行動方案2.0」，強化重要核心資料保全機制，鼓勵導入「零信任」驗證制度，透過「永不信任、持續驗證」的精神，務實地降低金融機構的資安風險。
根據金管會去年底發布的「金融資安行動方案2.0」，由於1.0版從2020年實施至2022年的主要KPI均已達標，占全計畫的86%；為了擴大適用、落實與深化、鼓勵前瞻為持續精進方向，訂有40項措施，其中新增資安措施計12項、擴大適用範圍計5項、持續性措施計23項，當中有9大精進重點。
一是擴大資安長設置，定期召開「資安長聯繫會議」；二是因應數位轉型及網路服務開放，增修訂自律規範；三是深化核心資料保全及營運持續演練；四是擴大導入國際資安管理標準及建置資安監控機制；五是鼓勵資安監控與防護之有效性評估；六是鼓勵「零信任網路部署」，強化連線驗證與授權管控；七是鼓勵配置多元專長資安人才，擴大「攻防演訓」量能；八是提升資安情資分享動能，增進資安聯防運作效能；九是辦理資安攻防演練，規劃「重大資安事件支援演訓」。
「金融資安行動方案2.0」將以3年為期，每季檢討成果，將採5種方式推動執行，首先在公私協力，政府、金管會周邊單位及各公私協力業別公會協力合作分工；其次是差異化管理，依不同業別、規模及業務，給予不同資安要求，循序推動；再來是資源共享，建立情資分享、事件應變及監控體系；接著有激勵誘因，做好資安的業者，給予費率優惠等降低經營成本的誘因，如降低存款保險費率；最後是國際合作，結合其他國家資安組織，掌握國際資安情勢，合作因應駭客攻擊。
資安人才培訓基地 金研院打造國家級資安聯防梯隊
而長期培育金融人才的金融研訓院積極響應政府措施，2020年8月與財金資訊公司共同推動「金融資安高階主管儲訓計畫」（CISE），首度試行資安LEAP班，課程以NIST與F-ISAC資安培育藍圖框架為根基，規劃金融產業營運所需網路禦敵與資安預防管理、治理規劃應備知能為培訓主軸，架構五大模組課程。
金融研訓院副院長林仲威強調，「資安的防範關鍵在人！」4年來，金融研訓院攜手財金公司共同啟動金融資安長的儲訓計畫（CISE），每年培養25位金融資安將官，透過近百場的新知研討及紅白軍實戰攻防演練等，協助金融業培養資安戰隊，並且以數位課程的方式全面提升從業人員的資安意識。
架設「金剛防護網」 強化、保護關鍵基礎設施
從政府到民間、國內到跨國合作，官、產、學正傾注全力架設資安「金剛防護網」，而美國發布的國家資安戰略第一支柱「保護關鍵基礎設施」，要讓民眾對關鍵基礎設施與服務的韌性、可用性充滿信心。
蔡英文也提到，立法院在今年5月底，三讀通過《銀行法》、《證券交易法》和《期貨交易法》的修法，往後涉及破壞核心資通系統設備的正常運作，都會加重刑責，最高可以處7年以下有期徒刑，併科1,000萬元以下罰金，就是為了強化金融關鍵基礎設施的保護。
面臨資安風險，金融業欲提升防護力和韌性，勢必要投入大量資本，蔡英文認為，儘管提高金融機構的防護力和應變力，需要投入很多成本，且無短期可量化收益，但管理階層堅持落實資安，並提供適當資源，保護金融機構、企業和客戶，就是金融機構很大的資產。
網路戰的重要性，已經不亞於實體戰，金融業的資安長、資安人才所擁有的產業資安防護能力，如同保家衛國的軍人，差別在於，這群資安捍衛戰士不用攜帶武器，而是運用無形的資產，為金融業或整體的國家安全帶來強大的保護力。

P16-19
美國篇》
採訪、撰文：陳曉嵐
曾對G7提金融網路演練計畫 解密OCCIP 聚焦關鍵基礎設施聯防
OC