網絡安全峰會主題演詞 講者:香港金融管理局總裁陳德霖

網絡安全峰會主題演詞

講者:香港金融管理局總裁陳德霖

2016年5月18日

王明鑫先生、湯復基博士、梁嘉麗女士、鍾兆揚先生、

各位先生、女士:

早安﹗很高興在今天的網絡安全峰會上致辭。

網絡安全的重要性

  1. 數據和網絡技術正在改變我們的生活方式,速度之快,令人難以置信。不過二十年前,很多人都不能肯定,假以時日網上銀行會否大行其道,成為我們處理銀行事務所信賴和樂用的方式。但今時今日,任何一家零售銀行的網上或數據銀行服務一旦發生故障而停止運作,後果都設想。在銀行以至其他金融領域,網銀能夠遍地開花,是因為有合適的土壤。網絡空間突破了實體世界的諸多局限,無論身處何方,銀行與客戶之間的資料、訊息溝通和交易指示幾乎可實時進行,方便快捷且無遠弗屆。網絡世界令大家更便捷、更容易使用銀行及金融服務,這是十多年前無法想像的。銀行與金融機構的客戶基礎不斷壯大,客戶對各種服務的需求亦隨之與日俱增,數碼科技的突飛猛進正好填補了市場需求。然而,人們在使用數碼銀行服務時,往往只著眼於方便快捷和低成本的好處,卻忽略了網絡安全問題,直至遭到網絡攻擊才猛然醒覺。
  2. 網絡空間的虛擬性及關聯性,決定了保障網絡安全所必需的方式和工具明顯有異於實體世界。在實體世界,為保家居安全,可以裝一扇厚實的大門,再加上堅固的門鎖;也可以用夾萬收藏財物或安裝防盜系統。更甚者,可能會聘請私人保鏢,像皇帝一樣,城堡高築,保護自己和家人免受敵人襲擊。可以肯定的是,這些保安措施都所費不菲,卻是保障財物須付出的代價。
  3. 網絡世界與實體世界一樣,風險處處,危機重重。何處有利可圖,何處就有金融罪行,盜賊和黑客總會絞盡腦汁,攻破網絡防線去偷竊搶劫。網絡世界的優勢,恰恰是其弱點,正因為虛擬世界緊密相連,黑客無論何時何地都可以向金融機構和客戶發動攻擊。網絡攻擊的形式層出不窮,常見手法包括以俗稱「釣魚」(phishing)技倆,誘使客戶透露帳戶資料及密碼,或在用戶的電腦或手機植入惡意程式,偷取登入帳戶所需資料,然後偷天換日,轉走受害人帳戶的存款。有時黑客更會做出一些出乎意料的舉動,最近香港就有一些銀行客戶的帳戶被黑客入侵,進行未經授權的股票交易,卻沒有直接轉走資金。在銀行層面,常見的網絡攻擊是分散式阻斷服務攻擊(DDoS攻擊),以此進行勒索、報復,或作為宣示某種激進思想的手段。這類攻擊近年有急速上升的趨勢,情況堪憂。

「網絡防衛計劃」

  1. 我認為,與其賭一把「黑客看不見我」的運氣,倒不如實事求是,及早採取措施保障自己或客戶免受網絡攻擊。網絡安全是現代銀行業的基石,基石不穩,香港就難以世界級國際金融中心自居。雖然至今香港銀行甚少遭到大規模的網絡攻擊,但要維持香港作為亞洲主要金融中心的競爭優勢,絕對不能掉以輕心。為此,金管局近日成立了「金融科技促進辦公室」,推廣網絡安全就是重中之重。我很高興在此宣布,金管局將為本港銀行體系推出「網絡防衛計劃」,這是我們與銀行業及其他夥伴緊密合作的成果,其中包含三條支柱:

(a) 網絡防衛評估框架;

(b) 專業培訓計劃;以及

(c) 網絡風險資訊共享平台。

接下來,我向大家介紹一下這三條支柱。

網絡防衛評估框架

  1. 香港有大約二百家銀行,經營模式各有不同,提供服務的渠道及方式亦各異。經營模式和技術平台的差異,網銀交易宗數和金額的差別,令銀行面對不同的潛在網絡攻擊風險。因此,香港銀行防範網絡攻擊的措施及水平,難以一概而論。網絡防衛評估框架的目的,就是制定一套具普遍性的風險為本框架,讓銀行以此作依據,評估自身的風險狀況,並參照國際經驗和優良做法,定出所需的防禦措施及保安水平,防範網絡攻擊。
  2. 當銀行確定其風險狀況和相應的網絡防衛水平,金管局就會要求銀行按照高級管理層甚或董事局的指示,制定適當的管治安排和程序,以達到與其風險狀況相對應的網絡防衛水平。具體而言,金管局會審視銀行能否有效偵測網絡攻擊並實施相應的保障措施,以及在遇襲時如何應對、恢復正常運作的速度。如果發現銀行的實際網絡防衛能力未達標,金管局會與銀行跟進,盡快提升其網絡防衛水平。

專業培訓計劃

  1. 「網絡防衛計劃」成功與否,關鍵在於是否有足夠資歷和能力的人才,協助銀行和金管局進行風險評估、設計和執行防禦措施,以及進行日常的網絡安全管理。很可惜,談到網絡安全方面的合資格專業人員,世界各地都在鬧人才荒,香港亦不例外。因此,「網絡防衛計劃」的第二條支柱就是為香港制定培訓及證書計劃,培養更多合資格專業人員。我很高興宣布,金管局與香港銀行學會及香港應用科技研究院(應科院)將會合作推出新的網絡安全培訓及證書計劃。我亦很高興告訴大家,我們正與英國的網絡安全核證機構CREST緊密合作,確保這項計劃是參照最先進的國際標準設計及制定。CREST International總裁Ian Glover先生出席今天的峰會,並會於稍後詳細介紹這個專業培訓計劃。這個在本地推出的培訓及證書計劃共有三個專業水平級別,分別為「基礎」、「從業員」及「專家」級別。此外,我們亦會作出合適的安排,確保在網絡安全範疇的相關或同等經驗與專門知識,得到適當承認。

網絡風險資訊共享平台

  1. 「網絡防衛計劃」的第三條支柱,是搭建一個新的平台,以分享有關網絡攻擊的資訊。與傳統戰爭一樣,資訊是打勝仗的關鍵。個別銀行可自行建立收發風險資訊的網絡,但單打獨鬥,則資訊預警的速度難免有所局限。另一方面,從成本、硬件及技術角度而言,黑客發動網絡攻擊的門檻越來越低,攻擊的速度亦越來越快,而且可能不僅僅針對一家銀行,而是同時攻擊多家銀行。因此,若銀行之間能互相合作,主動分享已知的網絡攻擊資訊或迫在眉睫的威脅,好處不言而喻。銀行從風險資訊共享平台及時收到提示或警告,有助它們防患於未然,在黑客發動攻擊前及早部署。
  2. 我很高興宣布,透過與香港銀行公會及應科院的合作,金管局即將推出網絡風險資訊共享平台,供全港所有持牌銀行使用。相關安排會確保平台能收集有用及適切的風險資訊,包括以中文顯示的風險資訊,並讓用戶可安心提供這些資訊,而無洩露專屬資料的顧慮。當然,用戶必須通過安全渠道接通平台,過程當中會經過嚴格的加密措施,而且只限於有需要的人士使用。

前瞻

  1. 金管局公布推出「網絡防衛計劃」後,會全力與各夥伴及有關方面合作,按以下時間表推出計劃:

(a) 金管局會在下周向所有銀行發出正式通告,列明銀行實施「網絡防衛計劃」是一項監管規定;

(b) 同時,我們會就風險為本的網絡防衛評估框架的詳細建議,諮詢銀行業界,諮詢期為三個月;

(c) 我們會與銀行學會及應科院合作,在今年底前推出首批為網絡安全從業人員而設的培訓課程;以及

(d) 我們會與香港銀行公會及應科院合作,在今年底前設立網絡風險資訊共享平台。

  1. 推出網絡防衛計劃的時間表頗為緊迫。然而,要提升銀行體系的網絡安全,以符合香港作為亞洲主要國際金融中心的地位,我們就必須爭分奪秒。為了這個共同目標,金管局、銀行業及各合作夥伴會緊密合作,爭取如期落實這個重要的計劃。最後,我要強調,在實體世界裏,即使是固若金湯的堡壘,也無法完全抵禦所有攻擊。因此,在網絡世界裏,我們正在努力建造的防禦工事絕不能一勞永逸。對任何金融中心而言,若要保持領先地位,網絡安全是一個必須應對的現實問題、一場必須打勝的持久戰。謝謝各位。