雲端架構的運用並不一定是把所有業務搬遷上雲才能稱為上雲,漸次性地開放、使用都是上雲的一種樣態,例如多語分行或是線上溝通,現今都可以透過雲端來實現。
去年,勤業眾信攜手與政治大學金融科技研究中心發布《2021台灣金融科技趨勢展望》,分別從Digital Banking(數位銀行)、InsurTech(保險科技)、Asset Management(資產管理/投資管理)以及SupTech/RegTech(法遵科技)等領域,觀察金融科技在銀行、保險、投資管理及法遵科技之應用及趨勢。調查內容指出,雲端基礎建設已經成為其中的一大關鍵議題,而且重要性正在提升。無論是開放銀行的資料串接、RegTech的即時監控或是顧客行為的龐大資料整合,金融業將越來越需要雲端資料儲存與敏捷運算的能力,未來上雲將是金融數位化的趨勢,不管是從效率與資安角度,或是許多新的科技工具,都會是以雲端為基礎發展。
從周邊支援到新業種上雲樣態多元
勤業眾信聯合會計師事務所風險諮詢服務執行副總經理林彥良指出,金融業界的面貌與過往已經完全不同,例如銀行業在近幾年一直進行的核心系統轉換,從傳統集中式的大核心、胖核心的概念,轉向敏前台、大中台與穩後台的作法,讓前台能夠銜接各式各樣不同的業務,串接各種不同的資源。在此邏輯之下,金融上雲的發展也從周邊的支援性業務一路慢慢延伸到新種業務,例如與信用風險有關、一般的基礎作業(如應用雲端服務來支援遠距工作/在家上班)、遠距視訊核保等等,逐步地將業務進行移轉。尤其是在金融韌性的議題上,隨著企業依賴資訊程度愈來愈高,以雲端做為資訊架構的備援機制也是提升企業韌性的一種方法。
他認為,金融上雲並非只限定於核心上雲,儘管現今也有投信、投顧或證券業者對這個議題非常關注,但就實務上來看,核心上雲的例子在全球並不多見,而且還存在一個如何保障客戶權益的現實問題:倘若把所有的核心作業集中在非銀行或是保險公司運行,萬一系統發生問題造成無法全方位交易、核保、理賠,或者是保險承接的時候,責任該由誰來承擔?「雲的應用並不一定是把所有業務搬遷上雲才能稱為上雲,漸次性地開放、使用都是上雲的一種樣態,例如多語分行或是線上溝通,現今都可以透過雲端來實現。」相較於兩年前,現今金融業界對於雲端的接受度已愈來愈高,除了主管機關的持續開放之外,疫情也是一項重要的推動因素。
制定上雲策略是優先要務
在數位潮流以及新冠疫情挑戰下,金融產業正面臨巨大考驗,如何善用金融科技(FinTech),建立現代化的金融服務,以進一步提供更有效率的服務與優化客戶體驗,是現今金融產業普遍面臨的轉型課題。在《2021台灣金融科技趨勢展望》中也深度訪談十家金融機構,有四成的受訪者點出雲端對金融應用的核心重要性,認為不管是從效率或是資安的角度來看,金融業越來越需要雲端資料存取與敏捷運算的能力,而且金融科技雲端應用是以資料(Data)為主要的驅動力。
林彥良提醒,在採取行動之前,金融機構首要應該思考「上雲策略」,並不是每項業務都適合上雲。他舉例,國內民營金控很早就積極佈局,例如某金控在一開始就進行Cloud Ready評估,哪些業務可以上雲、上雲的條件,包含法遵的要求以及客戶權益的管理,還有對業者管理等等其實都已經釐清,這將也有助於日後上雲案件的申請與報部。而另外一家金融業者則是聚焦在資料,希望能夠讓所有的子公司都能看到聚合或分析的數據,並且進一步轉換成營運的動力,在此前提下,必須先制定一個戰略方向,然後才能知道依序該做哪些事項並且加以實現。
林彥良提到,金融上雲並不是一股腦兒把核心系統搬遷上雲,也不是先做A再做B、事後才發現應該先做C的且戰且走。唯有清楚上雲策略方向,步調才能走得快又穩。「其實從目前三大國際雲端服務業者在台落地的佈局進展來看,預計明後年境外報部的議題應該就不復存在,屆時,將會回歸到上雲的本質,當三大雲服務供應商都有其特殊性,金融業應該如何評估自身的業務及其所需搭配的技術,就是一大關鍵。」換言之,前兩年看到的法遵、風控與內稽的問題,其實都只是一個過程,問題將會回到金融業者本身,當選擇變多時,如何將策略與業務結合?金融數位轉型並不是為了FinTech而FinTech,當上雲已經成為必然的時候,上雲策略反而是金融業者應該先思考的問題。
委外路徑易成破口 零信任解資安
在上雲策略之後,緊接著將是混合雲管理以及資安議題。林彥良指出,金融機構很難出現純雲端的架構,混合IT將成為一大挑戰,特別是在管理的課題上。以新加坡為例,2019年新加坡金融管理局(MAS)發布Notice 655 Cyber Hygiene,針對資訊安全方面的規範,規定金融機構必須採取相關的網路安全措施以確保金融機構能抵禦網路攻擊,如何同步到所有雲與地的環境,這些要求不是只有合規(Compliance)而是要真正的落實。換言之,金融機構內部的能力與人力有沒有辦法支應也是必須考量之處,「譬如任何基金銷售、保單或是調整存款利率,基本上都會存在風險,為什麼還要推行?關鍵就在於可被管理。同樣地,選擇雲業者並且使用雲環境的風險就在於能不能對其有效管理。當混合環境成為常態時,IT與資安有沒有能力去因應就會是重要關鍵。」
去年,勤業眾信發布《2021年網路資安大調查》報告,調查全球300家企業,超過七成的受訪者指出,過去一年經歷了一至十次網路資安事件;儘管如此,企業領導者仍計畫持續加速數位轉型之投資,更有超過九成(94%)的受訪企業財務長希望將財務系統或企業資源規劃系統(ERP)遷移至雲端環境。
他提到,這份調查突顯了上雲的必要性,但由於金融機構是特許行業,每個國家都需要有特殊執照才可以營運,隨著攻擊的手法不斷推陳出新,委外的風險議題也亟需被正視。因為從攻擊的角度來看,核心的防護最難攻破,周邊反而是最容易入侵,如果周邊打不下來,就從供應商或委外廠商著手,委外的路徑就變成是未來資訊攻擊中最容易發動的點。這也是為何在這幾年會經常聽到「零信任」的原因,傳統的資安架構採城牆式,就像入境篩檢,只要正常就不用隔離。但是受到技術與趨勢的驅動下,邊界漸漸消失,因此就必須要採取永不信任、始終驗證的邏輯,「企業花很多時間進行傳統的安全管理,其實是在做外圍那一道牆的管理,當邊界被打破時,要有能力管理,重點是要混合雲與地,這會是未來很大的挑戰。」