陈德霖谈知行合一的网络安全

知行合一的网络安全

今次《汇思》想和大家谈谈「网络安全」。今时今日提醒大家注意「网络安全」,犹如叫人「小心个人财物」、「饮食要注意均衡」,言者有心,听者无意。

即使「网络安全」是小学常识科必考,但知易行难,很多人可能意识不到网络漏洞带来的杀伤力,对于保障自己网络安全仍掉以轻心。据一间网络安全公司统计,去年欧美网民最常用密码仍然是「123456」,实在与开门揖盗无异。

近日,有香港银行的个别网上股票户口被不法之徒入侵,盗用户口进行股票买卖。估计他们可能由两个途径入侵:一是透过网络在客户的个人电脑植入恶意程式,盗取其网上银行密码;第二个可能是以电脑程式不断尝试而「撞中」用户帐号和密码。要防范类似的情况,最起码是选择较难破解的密码,并避免以同一组密码用于所有网上服务。(有关使用网上银行的醒目贴士,可参考我们的网上银行的保安提示。)

银行事后迅速回应并再提升相关保安措施,加强对股票帐户的保障,金管局亦已与银行业界商讨如何进一步强化防范和侦测可疑网上股票买卖交易的措施。

黑客的攻击手法层出不穷,一些新招还包括侵入企业电脑系统后将机密档案加密,然后勒索比特币(bitcoin)作解密的「赎金」。金融机构更是黑客重点攻击目标。金管局去年接获19宗报告,称银行受分布式阻断服务攻击(Distributed Denial of Service Attack,简称DDoS,以大流量造成网络交通阻塞),当中6宗更以实施DDoS作威胁,向银行进行勒索。幸而银行服务未有因DDoS而受严重影响。

古语有云:「知而不行,是为不知」,上述事件是很好的警示,提醒网络安全不但要「知」,更重要是「行」。银行客户、金融企业、监管机构三方都应「知行合一」,重视和实践网络安全。

银行业是香港经济和社会正常运作的重要命脉,网上银行更已变成市民日常生活倚重的环节。香港有提供网上或流动服务的银行中,近一半客户都有使用有关服务,网上银行帐户已超过1,100万个,网上银行的交易额和交易量逐年攀升,去年平均每月处理交易量高达1,700万,金额达7.3万亿港元,因此要保持公众对银行业的信心,关键之一是银行体系具备应对和处理网络风险的能力。

这要如何才做到?除了靠存户精明使用网上银行服务,金管局和银行又可以做什么?

我们在3月成立了「金融科技促进办公室」(Fintech Facilitation Office),推动金融科技的发展。要发展,首先是免除后顾之忧,因此网络安全是重中之重。作为「办公室」的头炮,金管局将会在下周举行「网络安全高峰会」,推出银行业的「网络防卫计划」(Cybersecurity Fortification Initiative),主要工作包括网络安全风险和应对能力的评估、人才培训及业界资讯互享,详情暂时容我卖个关子,稍后再和大家「开心share」。

陈德霖
香港金融管理局总裁
2016年5月12日