陳德霖談知行合一的網絡安全

知行合一的網絡安全

今次《匯思》想和大家談談「網絡安全」。今時今日提醒大家注意「網絡安全」,猶如叫人「小心個人財物」、「飲食要注意均衡」,言者有心,聽者無意。

即使「網絡安全」是小學常識科必考,但知易行難,很多人可能意識不到網絡漏洞帶來的殺傷力,對於保障自己網絡安全仍掉以輕心。據一間網絡安全公司統計,去年歐美網民最常用密碼仍然是「123456」,實在與開門揖盜無異。

近日,有香港銀行的個別網上股票戶口被不法之徒入侵,盜用戶口進行股票買賣。估計他們可能由兩個途徑入侵:一是透過網絡在客戶的個人電腦植入惡意程式,盜取其網上銀行密碼;第二個可能是以電腦程式不斷嘗試而「撞中」用戶帳號和密碼。要防範類似的情況,最起碼是選擇較難破解的密碼,並避免以同一組密碼用於所有網上服務。(有關使用網上銀行的醒目貼士,可參考我們的網上銀行的保安提示。)

銀行事後迅速回應並再提升相關保安措施,加強對股票帳戶的保障,金管局亦已與銀行業界商討如何進一步強化防範和偵測可疑網上股票買賣交易的措施。

黑客的攻擊手法層出不窮,一些新招還包括侵入企業電腦系統後將機密檔案加密,然後勒索比特幣(bitcoin)作解密的「贖金」。金融機構更是黑客重點攻擊目標。金管局去年接獲19宗報告,稱銀行受分布式阻斷服務攻擊(Distributed Denial of Service Attack,簡稱DDoS,以大流量造成網絡交通阻塞),當中6宗更以實施DDoS作威脅,向銀行進行勒索。幸而銀行服務未有因DDoS而受嚴重影響。

古語有云:「知而不行,是為不知」,上述事件是很好的警示,提醒網絡安全不但要「知」,更重要是「行」。銀行客戶、金融企業、監管機構三方都應「知行合一」,重視和實踐網絡安全。

銀行業是香港經濟和社會正常運作的重要命脈,網上銀行更已變成市民日常生活倚重的環節。香港有提供網上或流動服務的銀行中,近一半客戶都有使用有關服務,網上銀行帳戶已超過1,100萬個,網上銀行的交易額和交易量逐年攀升,去年平均每月處理交易量高達1,700萬,金額達7.3萬億港元,因此要保持公眾對銀行業的信心,關鍵之一是銀行體系具備應對和處理網絡風險的能力。

這要如何才做到?除了靠存戶精明使用網上銀行服務,金管局和銀行又可以做甚麼?

我們在3月成立了「金融科技促進辦公室」(Fintech Facilitation Office),推動金融科技的發展。要發展,首先是免除後顧之憂,因此網絡安全是重中之重。作為「辦公室」的頭炮,金管局將會在下周舉行「網絡安全高峰會」,推出銀行業的「網絡防衛計劃」(Cybersecurity Fortification Initiative),主要工作包括網絡安全風險和應對能力的評估、人才培訓及業界資訊互享,詳情暫時容我賣個關子,稍後再和大家「開心share」。

陳德霖
香港金融管理局總裁
2016年5月12日