返回目录:office365
2008 年的金融海啸为全球金融业敲响了警号,引发一连串的规管和更新过时的法例以防同类事情再次发生。但数年过后,似乎又有其他的威胁逼近,而且来得更频繁、更持久。
银行和金融业渴望为客户提供方便和个人化的服务以保持其竞争力,故此,他们收集和分析了大量敏感的客户数据,而这些数据都可被在线存取,智能手机、智能终端APP等都通过互联网收集个人信息和习惯行为,但这种方便却为网络攻击打开了缺口,网络罪犯可以利用数码系统的漏洞进行不同形式和复杂程度的攻击。而这种攻击近年来越趋频繁,假若我们掉以轻心,网络攻击将会为我们带来另一波的全球金融危机。
在 2016 年,孟加拉国国银行的官方计算机受到黑客攻击并导致 8,100 万美元的损失。去年,多间南韩的银行受到 DDoS 的攻击威胁,勒索他们 31.5 万元比特币。同年,美国的信贷评级机构 Equifax 的数据库亦遭到黑客入侵,导致大量个人资料泄漏,影响横跨美国、英国和加拿大超过 145 万人。
同样令人忧心的还有一些长时间续渐泄漏数据的攻击,这些攻击通常透过恶意软件散布,例如在拉丁美洲出现的TrickBot Trojan,它盯上了超过 40 个国家的银行,情况非常严峻。
近期的趋势就如 P2P 银行服务、不同的指令好像支付服务指令 II(PSD2)和一些举措例如在英国开放银行业应用程序编程接口(API)标准等,它们固然带来好处,但同时在无形中为黑客提供更多的渠道入侵系统,造成威胁。国家与全球当局已推出相关规管确保金融机构严格采取措施保障网络安全。
在即将于 2018 年 5 月 25 日实施的欧盟一般数据保护条例(EU General Data Protection Regulation)中,违例的企业将要缴付 20 万欧元或全球年营业额 4% 的罪款(以较高者为准)。印度亦正成立专为金融业而设的计算机应急响应小组(CERT-Fin) ,与金融规管机构和持分者紧密合作,共同为网络保安出一分力。在 2016 年,香港金融管理局推出「网络防卫计划」(CFI)以提升香港银行业网络安全的标准。CFI 共有三个阶段,包括设立「网络防卫评估框架」、推出「专业培训计划」及建立「网络风险信息共享平台」。
正所谓「道高一尺,魔高一丈」,银行和金融机构必须以敏捷的网络保安策略去辨别潜在威胁、防范攻击和尽早复原。银行业应该继续投放相当的金额于网络保安方面,因为他们的业务十分依重客户的信任。随着开放的银行业务发展,以及不同数据之间汇集成数码的互通,行业需要更积极地保护客人的数据。一次的保安漏洞足以损害企业的商誉,按最近一份客户的调查发现 50% 的受访者表示若所属的银行遭受到网络攻击,即会考虑转用其他银行;而 47% 的受访者则称如果所属银行有网络攻击事件发生的话,他们会对银行「失去完全信任」。
银行、金融服务和保险业(BFSI)需要研究采取全天候的侦察、防卫和应对措施对抗网络威胁。市场上的第三方保安服务供货商早已推出相关服务,并提供全面的专业保障。值得鼓舞的是针对保安营运中心(SOCs)的投资比重亦正在增加,2008年的金融海啸教晓整个金融业采取更负责任的风险管理方案。然而危机过后,种种事件也一再教训我们要时刻关注最新的网络保安威胁和解决方案,以及在我们最重要且脆弱的行业中投资保安应用程序,以便应对现时和将来的改善。