网络安全峰会主题演词 讲者:香港金融管理局总裁陈德霖

网络安全峰会主题演词

讲者:香港金融管理局总裁陈德霖

2016年5月18日

王明鑫先生、汤复基博士、梁嘉丽女士、钟兆扬先生、

各位先生、女士:

早安!很高兴在今天的网络安全峰会上致辞。

网络安全的重要性

  1. 数据和网络技术正在改变我们的生活方式,速度之快,令人难以置信。不过二十年前,很多人都不能肯定,假以时日网上银行会否大行其道,成为我们处理银行事务所信赖和乐用的方式。但今时今日,任何一家零售银行的网上或数据银行服务一旦发生故障而停止运作,后果都设想。在银行以至其他金融领域,网银能够遍地开花,是因为有合适的土壤。网络空间突破了实体世界的诸多局限,无论身处何方,银行与客户之间的资料、讯息沟通和交易指示几乎可实时进行,方便快捷且无远弗届。网络世界令大家更便捷、更容易使用银行及金融服务,这是十多年前无法想像的。银行与金融机构的客户基础不断壮大,客户对各种服务的需求亦随之与日俱增,数码科技的突飞猛进正好填补了市场需求。然而,人们在使用数码银行服务时,往往只着眼于方便快捷和低成本的好处,却忽略了网络安全问题,直至遭到网络攻击才猛然醒觉。
  2. 网络空间的虚拟性及关联性,决定了保障网络安全所必需的方式和工具明显有异于实体世界。在实体世界,为保家居安全,可以装一扇厚实的大门,再加上坚固的门锁;也可以用夹万收藏财物或安装防盗系统。更甚者,可能会聘请私人保镖,像皇帝一样,城堡高筑,保护自己和家人免受敌人袭击。可以肯定的是,这些保安措施都所费不菲,却是保障财物须付出的代价。
  3. 网络世界与实体世界一样,风险处处,危机重重。何处有利可图,何处就有金融罪行,盗贼和黑客总会绞尽脑汁,攻破网络防线去偷窃抢劫。网络世界的优势,恰恰是其弱点,正因为虚拟世界紧密相连,黑客无论何时何地都可以向金融机构和客户发动攻击。网络攻击的形式层出不穷,常见手法包括以俗称「钓鱼」(phishing)技俩,诱使客户透露帐户资料及密码,或在用户的电脑或手机植入恶意程式,偷取登入帐户所需资料,然后偷天换日,转走受害人帐户的存款。有时黑客更会做出一些出乎意料的举动,最近香港就有一些银行客户的帐户被黑客入侵,进行未经授权的股票交易,却没有直接转走资金。在银行层面,常见的网络攻击是分散式阻断服务攻击(DDoS攻击),以此进行勒索、报复,或作为宣示某种激进思想的手段。这类攻击近年有急速上升的趋势,情况堪忧。

「网络防卫计划」

  1. 我认为,与其赌一把「黑客看不见我」的运气,倒不如实事求是,及早采取措施保障自己或客户免受网络攻击。网络安全是现代银行业的基石,基石不稳,香港就难以世界级国际金融中心自居。虽然至今香港银行甚少遭到大规模的网络攻击,但要维持香港作为亚洲主要金融中心的竞争优势,绝对不能掉以轻心。为此,金管局近日成立了「金融科技促进办公室」,推广网络安全就是重中之重。我很高兴在此宣布,金管局将为本港银行体系推出「网络防卫计划」,这是我们与银行业及其他伙伴紧密合作的成果,其中包含三条支柱:

(a) 网络防卫评估框架;

(b) 专业培训计划;以及

(c) 网络风险资讯共享平台。

接下来,我向大家介绍一下这三条支柱。

网络防卫评估框架

  1. 香港有大约二百家银行,经营模式各有不同,提供服务的渠道及方式亦各异。经营模式和技术平台的差异,网银交易宗数和金额的差别,令银行面对不同的潜在网络攻击风险。因此,香港银行防范网络攻击的措施及水平,难以一概而论。网络防卫评估框架的目的,就是制定一套具普遍性的风险为本框架,让银行以此作依据,评估自身的风险状况,并参照国际经验和优良做法,定出所需的防御措施及保安水平,防范网络攻击。
  2. 当银行确定其风险状况和相应的网络防卫水平,金管局就会要求银行按照高级管理层甚或董事局的指示,制定适当的管治安排和程序,以达到与其风险状况相对应的网络防卫水平。具体而言,金管局会审视银行能否有效侦测网络攻击并实施相应的保障措施,以及在遇袭时如何应对、恢复正常运作的速度。如果发现银行的实际网络防卫能力未达标,金管局会与银行跟进,尽快提升其网络防卫水平。

专业培训计划

  1. 「网络防卫计划」成功与否,关键在于是否有足够资历和能力的人才,协助银行和金管局进行风险评估、设计和执行防御措施,以及进行日常的网络安全管理。很可惜,谈到网络安全方面的合资格专业人员,世界各地都在闹人才荒,香港亦不例外。因此,「网络防卫计划」的第二条支柱就是为香港制定培训及证书计划,培养更多合资格专业人员。我很高兴宣布,金管局与香港银行学会及香港应用科技研究院(应科院)将会合作推出新的网络安全培训及证书计划。我亦很高兴告诉大家,我们正与英国的网络安全核证机构CREST紧密合作,确保这项计划是参照最先进的国际标准设计及制定。CREST International总裁Ian Glover先生出席今天的峰会,并会于稍后详细介绍这个专业培训计划。这个在本地推出的培训及证书计划共有三个专业水平级别,分别为「基础」、「从业员」及「专家」级别。此外,我们亦会作出合适的安排,确保在网络安全范畴的相关或同等经验与专门知识,得到适当承认。

网络风险资讯共享平台

  1. 「网络防卫计划」的第三条支柱,是搭建一个新的平台,以分享有关网络攻击的资讯。与传统战争一样,资讯是打胜仗的关键。个别银行可自行建立收发风险资讯的网络,但单打独斗,则资讯预警的速度难免有所局限。另一方面,从成本、硬件及技术角度而言,黑客发动网络攻击的门槛越来越低,攻击的速度亦越来越快,而且可能不仅仅针对一家银行,而是同时攻击多家银行。因此,若银行之间能互相合作,主动分享已知的网络攻击资讯或迫在眉睫的威胁,好处不言而喻。银行从风险资讯共享平台及时收到提示或警告,有助它们防患于未然,在黑客发动攻击前及早部署。
  2. 我很高兴宣布,透过与香港银行公会及应科院的合作,金管局即将推出网络风险资讯共享平台,供全港所有持牌银行使用。相关安排会确保平台能收集有用及适切的风险资讯,包括以中文显示的风险资讯,并让用户可安心提供这些资讯,而无泄露专属资料的顾虑。当然,用户必须通过安全渠道接通平台,过程当中会经过严格的加密措施,而且只限于有需要的人士使用。

前瞻

  1. 金管局公布推出「网络防卫计划」后,会全力与各伙伴及有关方面合作,按以下时间表推出计划:

(a) 金管局会在下周向所有银行发出正式通告,列明银行实施「网络防卫计划」是一项监管规定;

(b) 同时,我们会就风险为本的网络防卫评估框架的详细建议,谘询银行业界,谘询期为三个月;

(c) 我们会与银行学会及应科院合作,在今年底前推出首批为网络安全从业人员而设的培训课程;以及

(d) 我们会与香港银行公会及应科院合作,在今年底前设立网络风险资讯共享平台。

  1. 推出网络防卫计划的时间表颇为紧迫。然而,要提升银行体系的网络安全,以符合香港作为亚洲主要国际金融中心的地位,我们就必须争分夺秒。为了这个共同目标,金管局、银行业及各合作伙伴会紧密合作,争取如期落实这个重要的计划。最后,我要强调,在实体世界里,即使是固若金汤的堡垒,也无法完全抵御所有攻击。因此,在网络世界里,我们正在努力建造的防御工事绝不能一劳永逸。对任何金融中心而言,若要保持领先地位,网络安全是一个必须应对的现实问题、一场必须打胜的持久战。谢谢各位。