駕馭電子銀行的網絡安全風險
本文作者石浩然為畢馬威會計師事務所合夥人、梁景豐為畢馬威會計師事務所高級經理,為《信報》撰寫專欄「妙畢可言」
網上銀行、流動銀行和電話銀行等電子銀行服務,成為現代銀行業必不可少的經營渠道。在香港,不少銀行不斷加強其電子銀行平台的建設,包括提升流動理財應用程式的功能,並增加利用社交媒體加強市場營銷及溝通等,冀能為客戶提供更加便捷、貼身的電子銀行服務體驗。在電子交易的大勢所趨下,香港金融管理局於9月初修訂了有關「電子銀行風險管理」的《監管政策手冊》單元,就網上銀行、流動銀行、自動服務櫃員機、社交媒體、非接觸式移動支付等的營運模式和安全管控制訂了新的指引。
新修訂的內容,包括放寬銀行客戶透過網上銀行向未登記的第三方,進行小額轉賬時毋須使用雙重認證,但有關轉賬設有金額限制,目前每個網上銀行賬戶涉及的交易金額,兩日內累計不得超過3000元。當局亦首次容許銀行客戶利用手提電話或平板電腦等移動設備,經戶口登記後進行更加廣泛的電子交易,例如轉賬至未登記的第三方或小額轉賬等。
據報道,金管局表示,新安排令電子支付及P2P更為方便,銀行可能會趁機推出相關業務,但銀行在提供更具彈性的電子銀行服務之餘,亦要考慮其安全性和當中涉及的風險,並在兩者中取得適當平衡。尤其是,如果銀行向客戶提供超過一項電子銀行服務,便必須小心評估跨渠道服務涉及的風險和影響範圍,研究如果一個網上銀行系統遭入侵,其他系統是否會同樣遭到入侵。
銀行需全面評估
例如,如果用戶允許客戶在其中一個網上銀行系統查閲個人資料,在這個系統遭入侵的情況下,黑客是否可以利用有關的個人資料,擅自進入櫃員機或電話銀行等其他電子銀行平台。
事實上,在新措施下,若銀行客戶遺失電話等移動設備,便可能等於跌了銀包,而且鑑於網上詐騙有持續上升趨勢,與金管局2004年的「電子銀行的監管」相比,這次的「電子銀行風險管理」在多個方面均列出了更加明確的要求。例如在移動銀行的特定監控措施方面,銀行需要對移動銀行涉及的風險進行具體評估,包括移動平台的安全漏洞、來自惡意軟件和惡意移動應用程式的風險、移動設備遺失或被盜風險、銀行客戶安全意識不足等,並制定適當的風險管理安全措施。
在網上提交資料方面,銀行需要全面評估有關系統涉及的風險,制定適當的監控措施,包括使用加密保護網上提交資料的保密性和完整性、識別惡意軟件的攻擊、增加檢查次數以驗證提交資料的客戶身份等。
在非接觸式移動支付方面,銀行須審慎評估當中存在的安全風險,包括電子扒竊洩露信用卡資料、移動設備遺失或被盜導致欺詐交易等。銀行亦必須確保非接觸式移動支付安排,能符合銀行業協會的安全標準。
而在社交媒體平台方面,銀行機構須進行所需的法律盡職調查,以確保全面遵守所有適用的本地或海外法律或監管規定,貫徹落實安全措施,以盡量減低通過社交媒體侵入銀行系統和洩露客戶數據的風險,並就有關風險進行獨立風險評估。值得一提的是,在金管局2004年的「電子銀行的監管」中並沒有相關的具體要求。
應建立網安管理文化
上述新頒布的規定對香港本地銀行的影響包括,銀行必須就電子銀行業務的新增規定進行合規評估。
事實上,當局在過去12個月頒布了多項與金融業科技應用有關的監管規定(例如雲計算、保障客戶資料、自攜設備上班等),不少銀行已經委託內部審計部或外部顧問全面審閲有關的風險和合規情況。新的「電子銀行風險管理」涵蓋了許多以往的規定或指引沒有提及的新風險,銀行必須根據新規則的內容,進行全面審閲以符合更廣泛的要求。
另外,「電子銀行風險管理」的制定,顯示當局更加積極應對不斷變化的科技風險和網絡風險,當局可能會在未來循着這個方向頒布更多新的規則和指引,以提高業界的科技監控標準。
銀行應如何做好準備把握機遇,並應對網絡風險呢?首先,我們認為,最高管理層應在整家銀行建立健全的網絡安全管理文化,制定明確的電子銀行網絡安全策略,並委任具備適當資歷的人士出任相關職務。
就可疑活動制定應對方案
在企業領導和管治層面上,銀行必須確保資訊科技部根據既定政策和程序開發和維護穩健的電子銀行系統,並就主要的電子銀行系統,制定健全的緊急恢復計劃和營運持續(BCP)計劃,以應付系統突然中斷的風險,例如數據中心因停電或其他技術故障完全不能運作的情況。
風險管理和合規部則需隨時掌握風險形勢和合規要求的變化,定期根據監管規則和行業操作模式的變化制定和更新相關政策和程序,特別是就可疑活動(例如客戶不使用常用的IP域名進行高風險交易)制定充足的應對方案,並定期進行檢查以確保各部門合規。內部審計部也需定期進行獨立審閲或審計,以確保銀行落實的控制措施能有效減低電子銀行系統產生的風險。
網絡風險是整家銀行面對的挑戰,銀行內各領域必須同心協力互相配合,並與資訊科技部和其他網絡安全部門緊密合作,以了解資訊科技以外的其他風險。銀行亦應為員工提供電子銀行和網絡安全方面的培訓,提高員工的網絡安全意識是打擊網絡威脅的不二法門。畢竟,近期不少網絡攻擊,也是通過各種社交網絡科技(如仿冒詐騙電郵)滲入員工的電腦系統而得逞的。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。